Ya lo habrán oído multitud de veces estos meses, hay que aguantar el invierno para poder remontar el año 2021. Pues si teníamos muchos problemas para seguir adelante, debemos sumar los peligros que existen en nuestra otra vida, la digital. La escasa liquidez de las empresas hace que cualquier factura cobrada se convierta en un hito o, directamente, la salvación para muchas empresas en plena subsistencia. Por ello, debemos tener muchísimo cuidado con el famoso fraude de las facturas falsas, otra vez en pleno auge, y sus consecuencias directas sobre clientes y proveedores. Veamos en síntesis cómo funciona este fraude y qué opciones tenemos para evitarlo.

¿Qué sucede?

Pongámonos en la situación de un cliente que le debe una factura a un proveedor. Recibimos un correo electrónico desde nuestro proveedor pidiendo el abono de la factura que ya le debemos o bien tenemos ya previamente, con la particularidad de que solicitan el pago en un una cuenta bancaria distinta a la habitual.Pues bien, ni el correo ni la factura son legítimos, corriendo el riesgo de perder el importe ingresado en la cuenta bancaria equivocada.

¿Cómo sucede?

En realidad el proceso para un atacante experimentado es relativamente sencillo. Mediante una técnica llamada “Man in the Middle” el atacante interviene las comunicaciones entre clientes y proveedores, obteniendo información del flujo normal de intercambio de bienes y servicios. Se termina atacando el servidor de correo del proveedor, en algunos casos, o bien creando un dominio de correo casi idéntico (por ejemplo, en vez de monlexabogados.es, monlexabogado.es), enviando la factura falsa y franqueando filtros de correo no deseado, entre otras defensas.Debemos recalcar que estos ataques son muy sofisticados, en el sentido que es muy complicado detectar errores clásicos en correos fraudulentos como las faltas de ortografía, malas traducciones, imágenes corporativas muy pixeladas o antiguas, o inconsistencia en el propio texto del mensaje. Nada más lejos de la realidad, el correo está muy bien dirigido a la persona que toca, y desde el remitente habitual.

Así, su detección se antoja más complicada debido a esta sofisticación.

¿Qué podemos hacer?

La respuesta siempre lleva dos tiempos en su ejecución: las medidas preventivas y las reactivas. Respecto a las primeras, podemos enumerar los siguientes consejos:

– Formación continua al personal, en especial sensibilizar al departamento financiero o de gestión de cobros y pagos.

– Verificar el cambio de patrón de conducta o solicitud de cambio de cuenta, llamando directamente al proveedor o informarse mediante un canal que no permite equivocaciones.

-Normalmente el cambio es a una cuenta de otro país, por lo que ya debería crear una sospecha.

– Actualizar siempre los equipos y servidores de la empresa con los últimos parches de seguridad. Ello incluye no instalar software ilegal que permita abrir puertas traseras o la introducción de aplicaciones que nos espíen.

– Nunca contestar directamente el correo, hacerlo por teléfono o por correo anteriormente verificado.

– Mirar bien el dominio o nombre del emisor.

Aunque algunos de estos consejos puedan sonar obvios, los momentos de gran tensión que actualmente vivimos, pueden provocar despistes o “tropiezos” en nuestro trabajo diario, errando en un pago o al comprobar su autenticidad. En cuanto a las posibles medidas reactivas, cuando hemos caído en un fraude online, recordemos que estamos en la parte del cliente que efectúa el pago. En muchos casos el proveedor no es consciente que le están suplantando la identidad hasta bien pasados unos días. Por ello, el cliente tendrá que:

– Recopilar toda la documentación relativa al fraude (emails, transferencias, etc.), siempre de forma que no se alteren las pruebas para poder presentarlas ante los jueces.

– Notificar a los bancos del fraude, tanto al banco destino del dinero estafado como al banco desde el cual hemos hecho la transferencia.

– Notificar al proveedor para que, en la medida de lo posible, cambie las contraseñas de administración de correos electrónicos o realice acciones para informar a sus clientes del fraude.

– Interponer denuncia ante cualquier de estos tres organismos:

Grupo delitos telemáticos Guardia Civil.

Delitos tecnológicos Policía Nacional.

Juntas Arbitrales de Consumo.

Por último, se podrá analizar la posibilidad de denunciar al titular de la cuenta bancaria al que se ha realizado el pago de la factura. Existen otras acciones que dependen de cada caso concreto y que deberán ser analizadas por expertos en ciberseguridad, pero desgraciadamente nos encontramos en un tipo de fraude difícil de reparar o restituir el dinero perdido.

Así pues, vayan con cuidado y sobre todo, no se confíen. A todos nos puede pasar en cualquier momento.

Xavier Ferretjans

Consultor en nuevas tecnologías

xferretjans@binauramonlex.com



Deja un comentario


Twittear
Compartir
Compartir