El Banco de España alerta sobre la estafa del pago de las facturas

Los ciberdelincuentes no se toman vacaciones. Cada día del año empresas y particulares están expuestos a caer en las redes de ciberdelincuentes que quieren obtener sus contraseñas y datos personales para luego vaciar sus cuentas. Este tipo de estafas llegan a través de email, SMS o llamada y están tan bien diseñadas que resulta complicado detectar el engaño. Para evitar que más víctimas piquen el anzuelo de los estafadores, el Banco de España, a través de su Portal del Cliente Bancario, ha querido alertar de un tipo de fraude conocido como la estafa del pago de las facturas.

El fraude del correo electrónico corporativo, también conocido por sus siglas en inglés como BEC (”Business E-mail Compromise”), es un tipo de delito que afecta a empresas que realizan pagos de facturas mediante transferencias. El modus operandi es el siguiente: al intercambiar información sobre facturas a través de correo electrónico, los delincuentes suplantan la identidad del proveedor encargado de remitirlas. Después, modifican dichas facturas cambiando el IBAN de la cuenta a la que debe realizarse la transferencia de dinero. Así es como consiguen engañar a sus víctimas.

Si se pregunta cómo es posible que el ciberdelincuente obtenga información de la empresa, de sus facturas y la dirección de correo del proveedor, el Banco de España explica que, para ello, el delincuente ha tenido que acceder previamente al correo de la víctima, posiblemente descifrando la contraseña.

Cómo proceder si ha sido víctima de esta estafa

Las víctimas de una estafa de este tipo que ya hayan realizado una transferencia a una cuenta falsa deben contactar con su entidad lo antes posible. “Las transferencias son mandatos de pago irrevocables y las entidades no están facultadas para ordenar la devolución sin el consentimiento del titular que se ha beneficiado. Ahora bien, de conformidad con las buenas prácticas y usos financieros, a la entidad se le exige que haga esfuerzos razonables para tratar de recuperar el importe transferido, contactando con el banco receptor”, señala el Banco de España.

A continuación, el Instituto Nacional de Ciberseguridad de España (Incibe) aconseja reportar el incidente adjuntando el correo y sus adjuntos para su análisis a Incibe-Cert (incidencias@incibe-cert.es), de manera que llegue con las cabeceras originales. Incibe explica que el número de cuenta del banco modificado es una evidencia y debe ser analizado. Después, si se ha cometido el fraude, hay que denunciar el incidente para que se investigue el origen del delito ante las Fuerzas y Cuerpos de Seguridad del Estado.

Si han tenido acceso a su correo electrónico (o a los datos de algún cliente), se ha producido una brecha de seguridad (según el artículo 33 del RGPD) y puede que se hayan visto afectados datos personales. Si es así, el responsable del tratamiento de la empresa tiene que notificar el incidente antes de 72 horas a la autoridad de control competente, la Agencia Española de Protección de Datos (AEPD) o similar en su comunidad.