Hoy en día, muchas empresas se ven afectadas por la ciberdelincuencia. Hoy queremos hablarte de una de las formas más comunes: el fraude BEC. Es una estafa en la que un ciberdelincuente suplanta o compromete una comunicación empresarial para modificar el IBAN de una factura y desviar el pago a una cuenta controlada por terceros.
Conoce también cómo puede ayudarte un perito informático a reclamar y poder recuperar tu dinero.
¿Qué es el fraude BEC o Business Email Compromise?
BEC se refiere a Business Email Compromise, en español Correo Corporativo Comprometido, es un sofisticado fraude cibernético que suplanta correos electrónicos corporativos.
En términos generales, se modifica una factura (IBAN) para que el cliente pague a un tercero (ciberdelincuente). Se puede conocer como el fraude del cambio de número de cuenta en una factura.
Hay varios tipos de BEC: la suplantación de directivos o fraude del CEO es el más común; el fraude de proveedores, fraude inmobiliario, modificación de facturas y ataques a recursos humanos.
Cómo funciona el cambio de cuenta bancaria en una factura
El estafador puede hacerse pasar por una cuenta o sitio web de un proveedor, con pequeñas variantes, y así engañar a las víctimas (por ejemplo: nombre@compañia.com vs. nombres@compañia.com). También puede enviar mensajes de phishing que se ven como si fueran de una fuente confiable y que las víctimas revelen información confidencial sin darse cuenta.
Otra forma es con el uso de software malicioso, que puede infiltrar las redes de la compañía y acceder a los correos legítimos viendo las facturas y demás información.
¿Por qué el fraude BEC afecta tanto a empresas y proveedores?
Este tipo de fraude, junto con el phishing y sus derivados, supone el 80 % de las denuncias que actualmente reciben cuerpos y fuerzas de seguridad del Estado, y la mayor pérdida económica para particulares y empresas. Por tanto, si es usted un afectado, está en la misma situación que miles de empresas y profesionales en España.
Las pérdidas económicas a pymes, el importe sustraído solía ser de 20 000 euros en adelante, con una media de 35 000 euros, especialmente en empresas relacionadas con la venta de maquinaria pesada, construcción, arquitectura, etc. Aunque cada vez se está bajando más el importe de los fraudes, llegando a 10 000 euros e incluso menos.
Cliente, proveedor y ciberdelincuente: quién interviene en el fraude
El ciberdelincuente realiza la suplantación de identidad del proveedor (quien envía la factura), estafando al cliente (quien recibe la factura).
La complejidad del BEC y el procedimiento depende de la información o el control de los sistemas que tiene el ciberdelincuente.
No solo eso, hay otros delitos o infracciones asociadas, como puede ser la interceptación de comunicaciones, sobre las que no profundizaremos en esta ocasión.
Qué hacer en las primeras horas tras detectar el fraude
En primer lugar, colaborar entre cliente y proveedor y que no pierdan la confianza. Para detectar dónde ha estado el fraude y el procedimiento, como perito necesito información que aporten las dos partes.
Lo que hacen tanto cliente como proveedor las primeras horas es clave para poder hacer una denuncia. Hasta el momento no hemos encontrado un caso en el que no sea viable su reclamación por responsabilidad civil a las entidades financieras.
Contactar con el banco y solicitar el bloqueo de la transferencia
Las partes deben contactar lo antes posible al banco para intentar revertir o bloquear la transferencia. Si esto no sucede, entonces deben seguir los pasos que damos a continuación y confiar en nuestro trabajo como peritos.
Conservar correos, cabeceras, facturas y justificantes
Es clave que no se borren correos, documentos adjuntos, facturas ni justificantes. Se recomienda guardar las cabeceras completas del correo electrónico.
Asimismo, que revisen las reglas del correo, accesos sospechosos y logs.
Denunciar ante las Fuerzas y Cuerpos de Seguridad
El procedimiento penal es mejor dejárselo a las fuerzas y cuerpos de seguridad. Por eso se debe poner una denuncia ante la Policía Nacional o Guardia Civil.
En determinados casos, puede estudiarse una reclamación frente a la entidad financiera, especialmente cuando existan indicios de incumplimientos en controles, trazabilidad, prevención del fraude o gestión de la operación. Esta vía debe analizarse con un abogado especializado y apoyarse, cuando proceda, en un informe pericial informático.
Y la vía adecuada es la responsabilidad civil, un procedimiento paralelo al penal. Para lo que debes encargar un informe pericial informático.
Qué no debe hacer una empresa afectada por un fraude BEC
Una vez detectado el fraude, el cliente y el proveedor buscan justificar el pago del servicio, intentando identificar de quién ha sido el problema. Así, una de las partes se haría cargo mediante responsabilidad civil.
Lo anterior es un error, ya que el que se haya producido un BEC no es más que un conjunto de infracciones o negligencias achacables a las dos partes e incluso a sus proveedores, y afecta a los dos.
Es necesario que entiendan que han sufrido un engaño por parte de un ciberdelincuente que es, en primera instancia, el responsable penal de resarcirles económicamente. Y que su identificación es sumamente complicada. Penalmente, es necesario iniciar un procedimiento mediante una denuncia por ambas partes.
Pero NO es útil intentar por parte de las empresas y sus abogados identificar al ciberdelincuente. No tienen los medios ,y por lo general, se puede llegar a identificar usuarios a los que les han suplantado la identidad (cuentas mula).
¿Qué analiza un perito informático en un caso de fraude BEC?
Un perito informático puede asesorar a las partes para que no pierdan el tiempo y recursos, que enfoquen los esfuerzos en recuperar el importe. No podemos hacer la reclamación por nosotros mismos, ya que el profesional adecuado es el abogado, pero sí podemos preparar el informe pericial que apoyará el caso.
Identificación técnica del método utilizado
- Identificar cómo se ha realizado el fraude y acreditar el BEC. En este punto identificamos cuándo es posible el método utilizado y recomendaciones para evitar el fraude.
- Identificar las vulnerabilidades de los bancos e incumplimientos de normativa.
- Análisis de las transacciones.
Informe pericial para procedimiento judicial o reclamación
El informe pericial servirá para apoyar en caso de acciones legales. Este permite aportar evidencias técnicas sobre el origen del fraude, la manipulación de correos, trazabilidad de accesos y conservación de pruebas digitales.
¿Se puede reclamar al banco tras un fraude BEC?
Las regulaciones de seguridad y normativas europeas no se han implementado, y la autoridad competente (Banco de España) no se ha ocupado de que las entidades bancarias tengan las medidas de seguridad suficientes para proteger al mercado financiero.
Lo que supone la principal vía de reclamación por responsabilidad civil. El incumplimiento de estas regulaciones hace viable la reclamación por responsabilidad civil a las entidades bancarias. Y es la vía que hemos recomendado y enfocamos en los informes periciales desde el 2020.
Existe una inoperancia de la responsabilidad del Banco de España (Estado) y la banca privada que hace que el mayor volumen de fraude afecte a ciudadanos y empresas. Atacando al principal pilar que sustenta a nuestra sociedad, el mercado financiero.
Dicho problema ha sido puesto en conocimiento de la Fiscalía General del Estado en el 2023 y el Departamento de Fiscalía de Delincuencia Informática, sin que hayan tomado medidas en el asunto a fecha de este artículo.
Reclamación bancaria, vía penal y vía civil
Existe una doble vía de reclamación, tanto al Estado como a la banca privada. Y creo que debería empezarse a reclamar la responsabilidad a los dos. Porque dejan al ciudadano y a las empresas asumiendo las pérdidas.
Si no hay una reclamación judicial, por lo general, los ciudadanos/empresas asumen las pérdidas. Y, por los costes, a veces puede no ser rentable solicitar un informe pericial, pagar abogado procurador y dedicar el tiempo para la reclamación.
El Banco de España indica que, antes de acudir a él, es obligatorio reclamar primero a la entidad. Si no hay respuesta o no se está conforme, se puede acudir al Banco de España en los plazos previstos, incluidos 15 días hábiles cuando la reclamación se refiere a servicios de pago.
Tiempos de reclamaciones aproximados
El volumen del fraude es tan grande que se han creado juzgados específicos en Madrid, pero por lo general el juicio se suele realizar en 2 años.
Es decir, desde que se comienza la reclamación a la entidad bancaria, suelen pasar 2 años para la primera vista. Una vez realizada la vista, la entidad bancaria suele recurrir para alargar el plazo si el monto es importante.
Cómo prevenir un fraude BEC en la empresa
Verificación del IBAN por un canal alternativo
Esta es la medida de prevención más importante. Cuando un proveedor te envía una factura es importante verificar el IBAN, sobre todo si se hace por un canal diferente al habitual, como un correo electrónico distinto. Puedes llamar por teléfono a una persona con la que ya tienes contacto de la otra empresa.
También debes tener mucho cuidado si hay mucha urgencia para pagar, así como si el email viene de una dirección distinta a la habitual.
SPF, DKIM, DMARC y doble factor de autenticación
Como proveedor, tienes opciones para reducir la suplantación del dominio corporativo. Por ejemplo, SPF define qué servidores pueden enviar emails en nombre del dominio; DKIM firma los correos para comprobar que no han sido alterados, mientras que DMARC indica qué hacer si un email falla las comprobaciones SPF o DKIM.
Todas estas opciones no eliminan el riesgo, pero sí dificultan el acceso de terceros al dominio de la empresa y el envío de correos fraudulentos.
Formar al equipo en señales de alerta
El personal de administración, contabilidad, compras y dirección debe reconocer patrones típicos de BEC.
Estar atento a señales de alerta como cambio repentino de cuenta bancaria, correos con urgencia o presión, dominios casi idénticos al real, errores sutiles en la dirección de email, peticiones fuera del procedimiento habitual. Así como facturas esperadas que llegan con datos distintos, solicitudes de confidencialidad excesiva y adjuntos o enlaces inesperados.
El FBI advierte que los atacantes pueden usar direcciones o webs con pequeñas variaciones para parecer legítimos, y recomienda revisar con cuidado direcciones de email, URL y ortografía.
Qué revisar en el proveedor de correo o hosting tras un fraude BEC
En ocasiones se vulnera el servidor (hosting) y se modifica el email antes de llegar a la bandeja de entrada del destino en el mismo hosting, por un script automatizado. Por eso, INCIBE recomienda revisar reglas o filtros no deseados, usuarios de correo, registros o logs de acceso, tráfico SMTP y cambiar contraseñas con doble factor de autenticación.
Si tu empresa fue víctima de un fraude BEC o realizaron una transferencia a una cuenta bancaria modificada, podemos ayudarte a conservar evidencias, analizar los correos electrónicos y elaborar un informe técnico para tu abogado o para defenderte en un procedimiento judicial.
Referencias
- https://clientebancario.bde.es/pcb/es/menu-horizontal/podemosayudarte/consultasreclama/comorealizarrecl/
- https://www.incibe.es/empresas/blog/bec-como-operan-los-estafadores-y-como-detectarlos
- https://www.fbi.gov/how-we-can-help-you/scams-and-safety/common-frauds-and-scams/business-email-compromise
