Así es la estafa del «intermediario» que suplanta identidades y falsea facturas

La Voz REDACCIÓN / LA VOZ

ACTUALIDAD

T. Barbhuiya

Es una de las más comunes y provoca ingentes pérdidas económicas a empresas e instituciones

09 ago 2024 . Actualizado a las 12:11 h.

La digitalización ha disparado el ingenio de los ladrones. Cada año, las ciberestafas ya mueven el equivalente al 1,5% de la riqueza mundial (PIB) con todo tipo de artimañas.

Una de las más comunes y, según los expertos, más en boga es la denominada «man in the middle» (intermediario), que está provocando importantes pérdidas económicas y reputacionales a empresas e instituciones. «Se trata de uno de los ciberataques más comunes, muy recurrente en los casos que recibimos en el despacho», asegura Teresa Regueira, abogada especialista en protección de datos en Pintos & Salgado. Pero, ¿en qué consiste? 

Los hackers suplantan la identidad de un proveedor de servicios e interceptan las comunicaciones con sus clientes para modificar los datos bancarios y conseguir así ingresos a sus propias cuentas. Regueira lo explica con un ejemplo muy paradigmático: «Una empresa recibe una factura de un proveedor usual vía e-mail con un número de cuenta para hacer la transferencia por sus servicios. El hacker interceptaría esa comunicación, cambiaría el número bancario y la empresa terminaría enviando el dinero a la cuenta del ciberdelincuente». El tiempo que se tarda en detectar el fraude es clave. La víctima de la estafa no se da cuenta de lo que ha pasado hasta que el proveedor reclama el pago del servicio y, para entonces, puede ser demasiado tarde. 

¿Quién suele ser la víctima de esta ciberestafa? Afecta por igual a empresas, instituciones y particulares. No obstante, el botín suele ser mayor cuando los delincuentes atacan a organismos públicos o grandes compañías. «Debemos entender que las consecuencias de un ataque del intermediario son múltiples. Por supuesto, hay pérdidas económicas, pero también un enorme daño reputacional, porque se pierde la confianza en los protocolos de seguridad de la organización que ha sido hackeada. Y luego está toda la información sensible y confidencial a la que pueden acceder los ciberdelincuentes, vulnerando la normativa de protección de datos», recuerdan desde Pintos & Salgado.

Uno de los casos más sonados de «man in the middle» ocurrió en el 2021. La víctima fue la Concejalía de Urbanismo del ayuntamiento de Sevilla. Esta había contratado la gestión de la iluminación navideña con una empresa a la que suplantaron la identidad. Al interceptar los correos con las facturas, los estafadores lograron que la institución les ingresase casi un millón de euros. 

Recomendaciones 

Por todo ello, los expertos recomiendan desconectar el dispositivo tecnológico de la red y cambiar las contraseñas cuando se tenga alguna sospecha. 

En caso de sufrir el ataque, denunciar los hechos y contactar con el banco de destino de la transferencia a la mayor brevedad posible para evitar que el dinero llegue a la cuenta del ciberdelincuente. No obstante, si la transferencia ya se produjo, todavía existe la posibilidad de reclamar al banco

Cuando se realiza una operación de este tipo, en ella siempre se indica el nombre del beneficiario. Aunque el IBAN se haya manipulado, la entidad financiera de destino tiene la obligación de comprobar siempre que ese IBAN se corresponde con el beneficiario de la transferencia en cuestión y cancelar la operación si no concuerdan o tienen sospechas de que podría ser fraudulenta.