La Policía Nacional de Valladolid bloquea una cuenta bancaria que cibercriminales utilizaban para estafar a empresas

La Policía Nacional consiguió bloquear una cuenta bancaria utilizada por los cibercriminales que había recibido dos transferencias fraudulentas, por un importe total de unos 223.600 euros, de dos empresas víctimas de estafa por el modus operandi “Man in the middle” también conocido como estafa “Business E-Mail Compromiso” (BEC).

A finales del mes de octubre del 2021 se recibió una denuncia en la Comisaría de Policía Nacional de Valladolid por parte de una empresa víctima de una estafa por importe de unos 222.400 euros.

La empresa vallisoletana damnificada tenía que abonar una factura a una empresa sita en Valencia por dicho importe, lo que realizó a un número de cuenta bancaria facilitado supuestamente por la empresa valenciana por medio de correo electrónico.

Sin embargo, pasados unos días, desde Valencia se pusieron en contacto telefónico con un representante de la empresa vallisoletana comunicándole su extrañeza al no recibir el dinero adeudado, comprobándose que la cuenta a la que se había ordenado la transferencia no pertenecía en realidad a la empresa receptora.

Estafa “BEC o Man in the middle”

El modus operandi de este tipo de estafas se desarrolla en cinco fases. Primera fase: selección del objetivo: la organización seleccionó un objetivo entre distintas empresas, obteniendo los datos de fuentes públicas.

Segunda fase:acceso ilegal: a través de diferentes métodos accedieron a las comunicaciones que la empresa vallisoletana mantenía con su proveedor de Valencia a través de email.

Tercera fase: observación de las comunicaciones: en esta fase los criminales comprobaron que la empresa de Valladolid tenía pendiente un pago por un importe de 222.400 euros a la empresa valenciana.

Cuarta fase: suplantación de identidad: la organización criminal envió un email a la empresa vallisoletana suplantando el de su proveedor y en los mismos términos que lo hacía habitualmente este, en el que se le pedía que realizara la transferencia a una cuenta que en realidad estaba controlada por los ciberestafadores.

Quinta fase: consumación de la estafa: el representante legal de la sociedad realizó la transferencia a la cuenta indicada, consumándose el engaño y la estafa.

Investigación

El Grupo de Investigación Tecnológica de la Comisaría de distrito de Valladolid pudo comprobar que en la cuenta abierta por los cibercriminales efectivamente se habían transferido los 222.400 euros por parte de la empresa de Valladolid y además localizaron otro pago de 1.260 euros procedentes de otra empresa estafada.

Debido a la rapidez de la actuación de los agentes los cibercriminales no habían llegado a disponer de dichas cantidades, por lo que se procedió a su bloqueo inmediato.

La empresa que había realizado el pago de los 1.260 euros era una empresa afincada en Madrid y fue alertada desde la Comisaría de Valladolid puesto que aún no era consciente del engaño. Tras recabar la preceptiva orden judicial se procedió a la retrocesión de las dos transferencias a las empresas víctimas de la estafa.

Los estafadores habían usurpado la identidad de una persona ajena a los hechos delictivos, por lo que por parte del grupo de investigación encargado de esclarecer los hechos se continúa con la pesquisas en orden de identificar plenamente a los ciberestafadores.

Consejos de seguridad

Las víctimas potenciales de este tipo de estafa puede ser cualquier empresa o autónomo, por lo que desde el Grupo de Investigación Tecnológica se considera muy importante que se adopten una serie de medidas preventivas:

- Formar y realizar campañas de concienciación a los empleados que puedan realizar pagos en la empresa, con el fin de que conozcan este tipo de estafas, ya que son el eslabón más débil en la ciberseguridad.

- Crear un protocolo para la realización de pagos por parte de la empresa y entre ellos una doble verificación en las transacciones de elevada cuantía o cuando se trate de pagos no habituales.

- Ante cualquier cambio de numeración de una cuenta bancaria, extremar las precauciones y realizar comprobaciones adicionales. Establecer que nunca se va a realizar un cambio de cuenta por correo electrónico.

- Implementar herramientas de escaneo de correos electrónicos para, en su caso, detectar e-mails fraudulentos y por supuesto herramientas antimalware.

Por último, en caso de ser víctimas de una estafa de este tipo ponerse en contacto con su banco lo más rápido posible y con la Policía Nacional para tratar de bloquear dicha transferencia.