Las ciberestafas dirigidas a empresas generan pérdidas de miles de euros. Timos como el 'fraude del CEO', que consiste en que un trabajador con acceso a las cuentas de la empresa piense que su jefe le está encargando hacer un envío de dinero, o el 'fraude BEC' (Business Email Compromise), que se produce cuando un ciberdelincuente cambia el número de cuenta en una factura. En la Twitchería de Maldito Timo hemos hablado con expertos sobre el modus operandi de estos timos, cómo protegernos ante ellos y qué hacer si hemos caído.
Cómo los timadores consiguen engañar a las empresas a través de email
A través de correo electrónico, los timadores consiguen engañar a los empleados de las empresas para que realicen transferencias de dinero a cuentas controladas por ellos. Para ello, emplean distintas técnicas. Iratxe Martín, responsable de Proyectos de Innovación y Tecnología en el Basque CyberSecurity Centre (BCSC), explica que los ciberdelincuentes pueden suplantar el email corporativo con una práctica llamada email spoofing. Otro método es crear una dirección de correo muy similar a la original, un truco habitual en los intentos de phishing. Por último, los timadores pueden haber accedido directamente al email de la empresa porque han obtenido las credenciales.
Ahora bien, ¿qué podemos hacer para identificar este tipo de correos fraudulentos? Martín insiste en que debemos corroborar con la otra entidad la autenticidad del mensaje: "Si trabajas en una empresa (...) cualquier correo o comunicación que nos sugiera hacer un pago o cambiar un número de cuenta, lo más seguro es verificarlo por otro canal, que puede ser una llamada telefónica".
La importancia de invertir en ciberseguridad para las pymes
La experta del BCSC señala que las empresas deberían visualizar la mejora en su ciberseguridad como una inversión y no como un gasto. "Al final, ¿cuál es el retorno de esa inversión? Pues el evitar un posible incidente", afirma Martín. En especial en pequeñas y medianas empresas (pymes), donde una estafa de miles de euros es más complicada de afrontar y puede incluso comprometer la continuidad de la compañía.
Martín recalca que es necesario un cambio de mentalidad para que las compañías integren la ciberseguridad dentro de su cultura empresarial. "Nadie pone en duda que hay que pone una cerradura", comenta, refiriéndose a las medidas de seguridad física que implementan las empresas. Sin embargo, la seguridad informática "como no es tan tangible, cuesta un poco de visualizar".
La experta expone como ejemplo las medidas de prevención de riesgos laborales, que con los años han ido adquiriendo más relevancia. "En el ámbito de la ciberseguridad es un poco lo mismo, poquito a poco las empresas tendrán que ir entrando en esa dinámica de ir protegiéndose", manifiesta.
¿Podemos recuperar el dinero si hemos sido víctimas de un "fraude BEC"?
Isaac F. Pérez, abogado especializado en derecho de las nuevas tecnologías y ciberseguridad del despacho Sirvent & Granados, explica que, demandando a los bancos por la vía civil para que devuelvan el dinero a las víctimas, han conseguido resoluciones favorables. El argumento que utilizan, como ya explicamos en este artículo, es reclamar a la entidad bancaria por efectuar una transferencia basándose en un único identificador (el IBAN) e ignorando el resto de la información.
Qué hacer si hemos caído en un fraude bancario
El abogado afirma que debemos actuar rápido si nos damos cuenta de que hemos sido víctimas de un timo. Establece cuatro pasos básicos a seguir: reclamar a nuestro banco cuanto antes, reclamar al banco al que han llegado los fondos, denunciar ante las autoridades y revisar las condiciones de nuestro seguro de hogar.
