Business Email Compromise, así estafan a las pymes por correo electrónico

Se llama Business Email Compromise o Fraude por email y es una práctica cuyo objetivo es desvalijar sobre todo a las pymes. Consiste en suplantar a una empresa que mantiene una comunicación fluida con otra tomando el control de su correo electrónico para obtener pagos.

Los ciberdelincuentes se hacen pasar por una de las empresas y reclaman pagos a justificar mediante facturas proforma, un documento que especifica una operación de compraventa, que se emite antes de finalizar la transacción y que detalla unas condiciones. Viene a ser como el borrador de una factura final.

Es un fraude técnicamente sofisticado pero muy efectivo. Los cibertimadores interceptan el correo electrónico de una empresa, que se convierte así en su víctima, y cambian la cuenta bancaria donde se realizan los pagos por una de su propiedad. Así logran controlar todos los desembolsos.

Remiten el correo con la cuenta bancaria modificada a la empresa pagadora, bien con la misma dirección de la entidad que reclama el cobro o utilizando una dirección de correo electrónico similar, que modifican levemente, y generalmente las víctimas no detectan el cambio y acceden.

Quienes llevan a cabo estas estafas suelen ser grupos numerosos y muy bien estructurados. Abren cuentas presencialmente con documentación falsa, con fotos propias o de terceras personas, que previamente han preparado o comprado a terceros. Así consiguen recibir ingresos en sus cuentas que luego transfieren a otras para su posterior blanqueo.

La Guardia Civil alerta de estas prácticas que se ceban con las pymes y que el cuerpo policial tiene muy presente tras haber desmantelado grupos que se valían del Business Email Compromise o Fraude por email. Ya el pasado mes de enero, dentro de la denominada operación Firewood, la Benemérita detuvo en Málaga a ocho personas que integraban una organización cibercriminal dedicada a estafar a pequeñas y medianas empresas.

Este grupo robaba a las empresas su correo electrónico, aunque también utilizaba el timo de las cartas nigerianas para tratar de estafar a particulares: usaban señuelos como el supuesto cobro de una herencia que te deja un pariente lejano, presuntas donaciones de personas solventes de sobra conocidas o la clásica estafa 'del amor', en la que una mujer, generalmente, se 'enamora' de cualquier usuario de email, al que manda fotos y le promete amor eterno, aunque en realidad solo quiere su dinero.

Las pymes son más vulnerables

Al margen de estas estafas dirigidas a particulares, el grupo se dedicaba a timar a empresas pequeñas y medianas, y no a otras más grandes. La razón es que las grandes, aunque atesoran mayor solvencia y pueden disponer de mayor capital, también tienen medidas de ciberseguridad más complejas que las pymes. De hecho, muchas de pequeñas y medianas dedican pocos recursos a protegerse de los ciberdelincuentes o incluso ninguno.

La banda desarticulada en Málaga había consumado estafas por valor de más de 800.000 euros. Guardaba en al menos 23 cuentas bancarias más de 260.000 euros. Se les imputaron a los ocho detenidos delitos de organización criminal, delito continuado de estafa agravada, falsificación de documentos públicos y privados, descubrimiento y revelación de secretos y blanqueo de capitales.

La organización había logrado engañar a pymes por toda España. Concretamente en Alicante, Barcelona, A Coruña, Cantabria, Las Palmas, Granada, Ibiza, Palma de Mallorca, Lugo, Murcia, Segovia, Sevilla, Toledo, Valencia, Madrid, Valladolid y Zaragoza. También se localizaron varios estafados en Hungría y Rumanía.

La seguridad de muchas pequeñas y medianas empresas puede verse afectada por este timo que siempre requiere de cambios de cuentas. Por ello, la Guardia Civil recomienda que si en una transacción empresarial se detecta que una de las empresas ha cambiado de cuenta, se compruebe su veracidad contactando con ella por otros canales más fiables, como una simple llamada de teléfono.

Los ciberdelincuentes suelen ser ambiciosos si ven que su timo progresa y puede ir en ello incluso la viabilidad de la empresa que es víctima de la estafa.