Un “simple” correo electrónico puede ser el inicio de una estafa millonaria. La técnica BEC, Business Email Compromise, es una técnica de ciberestafa a través de la cual los ciberdelincuentes pueden causar estragos. En ocasiones se confunde con el denominado Fraude del CEO, pero no es la misma técnica. 

Agentes del equipo de Investigación Tecnológica (EDITE) de la Comandancia de la Guardia Civil de Toledo han investigado a nueve personas y otras 20 están identificadas como presuntos autores de una estafa en la que presuntamente se han apropiado de más de un millón de euros a 36 empresas españolas. Forma parte de la operación “Company-CERES”, y están siendo investigados por los delitos de estafa, así como blanqueo de capitales, falsedad documental y usurpación de estado civil, según reporta Europa Press. 

La investigación comenzó en mayo de 2021 cuando 36 empresas de Toledo, Madrid, Valencia, Cuenca y Barcelona, denunciaron que habían sufrido un ciberataque que había interceptado correos electrónicos. 

Como resultado de la operación, la Benemérita ha logrado recuperar 247.371 euros de los 1.176.692 euros estafados.

Transferencias a cuentas fraudulentas: así funcionaba la estafa millonaria

La investigación ha esclarecido que los ciberdelincuentes lograban interceptar correos electrónicos que las empresas afectadas enviaban a distintos proveedores con los que mantenían una relación comercial y se preveía realizar algún tipo de pago.

Los atacantes accedían a los correos y modificaban tanto la dirección del correo electrónico (modificando o cambiando alguna de las letras) para hacerse pasar por el proveedor, y también cambiaban el número de cuenta bancaria del proveedor.

Finalmente, conseguían recibir las transferencias económicas que las empresas pensaban que estaban realizando a sus proveedores.

En algunos casos, tras recibir el dinero en la cuenta fraudulenta, los atacantes realizaban inmediatamente transferencias a otras cuentas de entidades bancarias ubicadas en países europeos, que ejercían de «mula económica». Estas mulas introducen el dinero estafado en circuito legal, recibiendo por ello una pequeña compensación económica.

La Guardia Civil realizó un intenso estudio para analizar 36 cuentas bancarias y cientos de movimientos

Así es como fueron identificando a los beneficiarios de las transferencias, de los estafadores.

Los agentes se percataron de que en varias ocasiones los autores de la estafa utilizaban la identidad de otras personas, e incluso llegaron a abrir cuentas bancarias con documentación falsa.

Asimismo, lograron bloquear once cuentas bancarias y esclarecer 40 delitos entre los que se encuentran 23 estafas, cinco delitos de blanqueo de capitales, 10 delitos de usurpación de estado civil y dos de falsedad documental.

En esta operación, que ha contado con la colaboración de los Equipos @ de la Comandancia de Toledo. Los Equipos Arroba son unidades de agentes de la Guardia Civil formados en delitos tecnológicos.

Esto dio lugar a la investigación de nueve personas en las provincias de Barcelona, Granada, Málaga, Valencia, Navarra y Las Palmas, así como la identificación de otras 20 como presuntos autores de los hechos investigados, una de ellas en prisión.

Cómo funciona el BEC, Business Email Compromise (y cómo reconocerlo)

La Guardia Civil avisa a las empresas de que deben prestar atención a movimientos sospechosos. Por ejemplo, si recibe un correo electrónico de un proveedor o cliente en el que se modifica el número de cuenta habitual.

En estos casos, recomiendan ponerse en contacto con la persona o empresa que debe recibir el dinero para verificar que el cambio es correcto.

Verificar siempre es fundamental, en cuanto se tiene la más mínima sospecha. 

Es importante también permanecer atentos a posibles cambios en la dirección del correo electrónico.

Si se es víctima de una estafa, es importante denunciarlo.

El BEC, Business Email Compromise en ocasiones se confunde con el Fraude del CEO, que también es una estafa en auge entre los ciberdelincuentes.

La diferencia radica en que en el caso del Fraude del CEO, los estafadores envían un correo electrónico a un empleado con capacidad de hacer trasferencias, y se hacen pasar por un jefe o un superior que le insta a realizar una transferencia urgente y confidencial. En este caso, suplantan la identidad de otro empleado de la empresa, usando para ello direcciones de correos electrónicos que parecen ser del remitente que lo solicita.

En el BEC, los estafadores suplantan la identidad de proveedores con los que la empresa víctima tiene una relación comercial, y llegan a interceptar los correos electrónicos técnicamente, creando reglas de correo de entrada o salida para que ni la víctima (la empresa) ni el proveedor se den cuenta de lo que está ocurriendo.

Ciberataques a la alta dirección de las empresas. ¿En qué consiste el fraude del CEO?

Periodista especializada en seguridad informática y tecnología. Cofundadora y directora editorial de Bit Life Media, web dedicada a la actualidad de la tecnología, ciberseguridad e innovación. Presentadora de eventos y ponente especializada en seguridad informática y concienciación. Autora de "Ciberseguridad, consejos para tener vidas digitales más seguras".

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre