'El fraude del CEO', la nueva estafa que ha costado 50.000 euros a una empresa riojana

Los estafadores a través de las redes sociales idean métodos cada vez más elaborados para tratar de evitar que las víctimas descubran el engaño. La Policía Nacional alerta de una nueva modalidad de estafa conocida como 'fraude del CEO' y que ya ha tenido víctimas en La Rioja.

La estrategia tiene como objetivo engañar a dependientes o trabajadores de comercios para que abonen unas facturas inexistentes a nombre de la empresa. Para lograrlo utilizan la suplantación, por parte de las organizaciones criminales, de responsables públicos de contratos, para lo cual desarrollan un engaño mediante correos electrónicos basado en datos precisos y pormenorizados de contrataciones reales.

En uno de los casos denunciados ante la Policía Nacional en La Rioja, los delincuentes obtuvieron la información de una empresa y haciéndose pasar por otra solicitaron el pago de una factura pendiente. La víctima, conocedora que debía pagar esa factura no dudo en realizar el pago, en la cuenta bancaria fraudulenta aportada por los delincuentes.

A los pocos días cuando la empresa le requirió el pago del importe legal, fue cuando la víctima se percata que ha sufrido una estafa. El total de importe estafado llega a alcanzar los 50.000 euros.

En un negocio, los timadores investigaron y llamaron por teléfono aprovechando que el gerente no estaba. Tras embaucar a un empleado, los delincuentes consiguieron que este realizase una serie de pagos para abonar unas supuestas facturas impagadas.

El entramado pasó por entretener y presionar al empleado, al que no le dejaron tiempo para pensar o realizar comprobaciones, ya que lo mantenían ocupado en una primera llamada telefónica y le presionaban para que dejara la línea de teléfono libre y esperara la llamada de un supuesto repartidor, evitando así que pueda contactar con ninguna otra persona que le sacara del engaño.

A continuación, un cómplice del estafador realizó una segunda llamada fingiendo ser el repartidor de la entrega para comprobar si ya se han realizado los pagos pendientes, aumentando la presión sobre el empleado víctima que para ganarse la aprobación de su jefe buscará los medios para realizar los pagos cuanto antes.

Agentes de la Jefatura Superior de La Rioja han detectado en un breve espacio de tiempo esta estafa y, especialmente, de fraudes BEC (Business Email Compromise). Se ha producido un aumento de los casos en los que, de una forma u otra, un organismo oficial aparece involucrado en alguna tentativa de este tipo de fraude, ya sea como víctima o como parte involuntaria del engaño por haber sido suplantado. El mayor incremento se está dando en los fraudes BEC, en el que el cebo empleado es un cambio imprevisto en la cuenta bancaria de pago a proveedores.

En el caso de las administraciones públicas, las organizaciones criminales defraudadoras pueden obtener, vía online y sin rastro alguno, información pormenorizada sobre contratos establecidos por la administración y los altos cargos responsables de su tramitación. Aunque en el caso de la Administración General del Estado, el uso generalizado del punto general de entrada de facturas electrónicas así como el control exhaustivo que se realizada sobre el pago a proveedores, hace más difícil que sea víctima de este tipo de fraudes, en el sentido de la realización de un pago a un proveedor suplantado. 

En base a las tentativas de fraudes reportadas a la Policía Nacional por diferentes organismos de la administración pública, la dinámica delictiva que se está extendiendo es la suplantación por las organizaciones criminales de responsables públicos de contratos específicos. Los ciberdelincuentes desarrollan un engaño a través de correos electrónicos basado en datos precisos y pormenorizados de contrataciones reales, enfocándose en las empresas proveedoras como víctimas, tanto en la modalidad de pagos fraudulentos a un organismo público suplantado, como pagos fraudulentos entre contratista y subcontratista. 

En los casos de fraudes BEC, en el escenario aparecen pequeñas empresas o personas físicas que, ya sea de forma regular o de forma ocasional, participan en una operación de compraventa o de prestación de servicios. Los términos de la transacción se negocian entre las partes legítimas mediante correos electrónicos fundamentalmente y, en algunos casos, también mediante aplicaciones de mensajería instantánea. 

En este tipo de fraudes, se consigue el acceso ilegítimo a una o a ambas cuentas de correo implicadas y se obtiene información sobre los pagos esperados, fechas, cantidades, personas implicadas, mercancía o servicios con los que se comercia y estilo de lenguaje utilizado, entre otros.

La organización criminal defraudadora registra una dirección de correo con un aspecto visual muy similar al de la dirección auténtica. Posteriormente solicitaban un adeudo económico pendiente en una cuenta bancaria controlada por la organización criminal, argumentando con cualquier excusa que se ha producido un cambio en la cuenta bancaria habitual donde se venían recibiendo los pagos legítimos con anterioridad.

La Policía Nacional aconseja que para evitar que aumenten las víctimas de este tipo delictivo se tengan en cuenta las siguientes pautas:

- Evita facilitar información sobre clientes o proveedores en la página web de la empresa y en redes sociales.

- Solicitar la cuenta de pago de forma previa a la formalización de una operación, verificando así que es la acordada previamente con el proveedor.

- Instalar, en su caso en los sistemas informáticos, herramientas para detectar y bloquear correos fraudulentos o con contenido malicioso.

- Mantener habilitados y actualizados sistemas de prevención de malware.

- Crear un protocolo paso a paso cómo realizar los procesos de pago en la empresa.

- Crear un sistema de doble verificación (telefónica o por correo electrónico) permite asegurar la legitimidad de la operación.

- Formar a todos los empleados en prevención de este tipo de estafas, que incluya el protocolo de pagos.

• Temas
• Estafas
• Internet
• Policía Nacional
• Ciberseguridad