Price Waterhouse ha publicado recientemente una encuesta sobre el fraude en las empresas –Pulling fraud out of the shadows (Sacando el fraude de las sombras)– con unos resultados que los autores del trabajo han cuestionado de inmediato por su dudosa credibilidad: solo el 49 por ciento reconoció haber sido víctima de un fraude. El director del estudio, Didier Lavion, principal de la compañía en Estados Unidos, formulaba un pronóstico seguido de un interrogante: “sabemos que la cifra de fraude podría ser mucho mayor. Luego, ¿qué pasa con el otro 51 por ciento?”. El alcance del sondeo es especialmente significativo, pues se ha obtenido de 7.200 encuestados procedentes de 123 territorios.
La distancia entre los procedimientos de fraude “tradicional” y tecnológico es cada vez más grande. Aunque, por ejemplo, se sigue sustrayendo a empresas y particulares cheques de cuenta corriente o pagarés, que son objeto de una manipulación más o menos lograda, las diferencias operativas y los objetivos de lucro con determinados procedimientos de fraude tecnológico son abismales. En el primer caso, para no levantar las sospechas de los empleados de las sucursales, el importe de los primeros no suele superar los 3.000 euros, cuyo perjuicio es asumido por las entidades financieras en general, mientras que algunos fraudes tecnológicos, como el conocido por el nombre “del CEO”, le han costado a algunas empresas cientos de miles de euros.
El fraude está cambiando el paso a las empresas, con normas y objetivos más precisos que incluso empiezan a tener alcance transfronterizo como respuesta a ese mismo marco territorial de los ataques de los defraudadores. Lo veremos en el relato de algunas actuaciones policiales. Como señala el informe de Price, “las organizaciones se enfrentan a una tormenta perfecta de fraude con riesgos relacionados: internos, externos, regulatorios y reputacionales. Ha llegado el momento de adoptar una nueva y más holística visión del fraude”.
La encuesta de Price, que tiene como protagonistas a ejecutivos senior (52%), empresas que cotizan en Bolsa (42%) y un 55 por ciento con más de 1.000 empleados, enfrenta una pregunta a otras a modo de respuestas: “la pregunta importante no es si su organización es víctima de un fraude, sino si sabe cómo le está afectando el fraude o si está luchando con los ojos vendados o bien abiertos”. El sondeo finaliza su resumen ejecutivo con cuatro recomendaciones básicas para luchar contra el fraude: reconozca el fraude cuando lo vea, tome una aproximación dinámica, aproveche el poder protector de la tecnología e invierta en personas, no solo en máquinas.
Nuevas tecnologías
Un número significativo de los nuevos delitos que sufrimos hoy las entidades financieras no son más que consecuencia de las viejas tipologías delictivas ayudadas por herramientas digitales (por ejemplo, la falsificación de los cheques robados mediante el escaneo), la facilidad para que el cliente pueda realizar todo tipo de operaciones bancarias de manera sencilla y rápida y, en no pocos casos, la débil custodia de los documentos o la deficiente protección de los medios técnicos de comunicación (ordenadores, móviles, etc.) por parte de la víctima.
Los cheques enviados por correo ordinario a miles eran y siguen siendo objeto de atención de grupos especializados de delincuentes, los cuales encuentran el tiempo y los medios para su manipulación y cobro. Hoy, el hackeo de la dirección del correo electrónico de los propietarios o directivos de empresas facilita que el delincuente usurpe su identidad y ordene transferencias por el mismo medio a las sucursales titulares de la cuenta, a pesar de que las entidades establecen para estas operaciones el uso de la banca online, pues este medio cuenta con unos altos niveles de seguridad y autenticación.
Mientras que las entidades financieras españolas y la mayoría de las grandes firmas figuran entre los puestos de cabeza en los procesos de valoración de sus defensas en materia de ciberseguridad, las medianas y pequeñas empresas avanzan más lentamente por el gran esfuerzo económico que significa la protección de sus comunicaciones y programas informáticos. Así, la suplantación de la cuenta de correo electrónico (con un agravante conocido como el “fraude del CEO”), que implica una importante mejora en los objetivos económicos de los ciberdelincuentes, es otro ejemplo de ese lamentable protagonismo del correo electrónico.
El fraude está cambiando el paso a las empresas, con normas y objetivos más precisos que incluso empiezan a tener alcance transfronterizo
Según los datos publicados por la compañía eslovaca Eset, especializada en herramientas antivirus y antispyware, 2018 ha sido el año en el que más vulnerabilidades se han descubierto: unas 46 diarias, a finales de noviembre. Pero un aspecto relevante de este estudio es que el correo electrónico, una vez más, continúa en los puestos de cabeza entre los métodos preferidos por los ciberdelincuentes, aunque los móviles siguen ascendiendo escalones con gran rapidez. Eset señala que la última variante del troyano bancario Danabot, resultante de su alianza con Gootkit, ha supuesto un aumento notable en su eficacia en varios países europeos, especialmente en Polonia.
Precisamente, cuando redactábamos estas líneas, el Ministerio del Interior hizo pública una brillante operación de la Unidad de Delincuencia Económica y Fiscal que, en colaboración con otras unidades policiales, ha puesto fin a una trama de fraude a gran escala con la detención de una banda internacional radicada en España.
Las principales tipologías de ataques de esta banda consistían, entre otras, en el “fraude del CEO” (conseguir que directivos contables de empresas realicen importantes transferencias ordenadas, supuestamente, por el máximo dirigente de la compañía); transferencias fraudulentas (ordenadas por correos electrónicos con la cuenta suplantada) desde las empresas víctimas a cuentas abiertas previamente en España y otros países con documentación falsa; ataques man in the middle (en los que el ciberdelincuente consigue leer, insertar y modificar a su voluntad las comunicaciones entre dos víctimas, procurando que ninguna de ellas detecte que ese enlace entre ambos ha sido vulnerado); y cartas nigerianas (una espectacular variedad de “ofertas”, participaciones en negocios del petróleo, premios millonarios de la Loto, herencias, etc.).
Otro fraude clásico que les reportaba pingües beneficios podría denominarse la estafa del cambio de cuenta beneficiaria. Hackeada la cuenta de correo electrónico de una empresa proveedora de servicios, remitían al organismo público o compañía un correo para que el pago de los servicios prestados no se realizara a la cuenta habitual, sino a otra previamente abierta en la misma o distinta entidad financiera con documentos falsos. La magnitud del botín puede dar una idea de la importancia del servicio policial: 25 millones de euros en todo el mundo, más de 100 empresas afectadas, listados de contacto de más de 500.000 corporaciones españolas y cuentas de correo electrónico de 1.000 de estas compañías con sus claves de acceso.
¡Sigue Leyendo!
Aquí te hemos mostrado tan solo un resumen de este artículo.
¿Quieres leer el artículo completo?
