Coñecidos como fraudes ao CEO e fraudes BEC

A Policía Nacional alerta sobre un incremento de intentos de estafas ás Administracións Públicas

A dinámica delituosa que se está estendendo é a suplantación, por parte das organizacións criminais, de responsables públicos de contratos específicos, para o que desenvolven un engano a través de correos electrónicos baseado en datos precisos e pormenorizados de contratacións reais

Aínda que o aumento detectado nas últimas semanas afectan especialmente a organismos públicos, as fraudes afectan, ademais, a todo tipo de empresas, entidades, clubs de fútbol ou autónomos, entre outros

28/01/21

A Policía Nacional alerta sobre un incremento de intentos de estafas ás Administracións Públicas e, de maneira particular, á Administración Xeral do Estado. Concretamente, comprobouse que nas últimas semanas produciuse un incremento de intentos de fraudes ao CEO (Chief Executive Officer) e, especialmente, de fraudes BEC (Business E-mail Compromise).

Os investigadores deste tipo de delitos están a observar un aumento dos casos nos que, dunha forma ou outra, un organismo oficial aparece involucrado nalgunha tentativa deste tipo de fraude, xa sexa como vítima ou como parte involuntaria do engano por ser suplantado. O maior incremento está a darse nas fraudes BEC, no que o “cebo” empregado é un cambio imprevisto na conta bancaria de pago a provedores.

No caso das Administracións Públicas, as organizacións criminais defraudadoras poden obter, vía en liña e sen rastro algún, información pormenorizada sobre contratos establecidos pola Administración Pública e os altos cargos públicos responsables da súa tramitación. O uso xeneralizado na Administración Xeral do Estado do Punto Xeral de Entrada de Facturas Electrónicas da A.G.E., así como o control exhaustivo que se realizada sobre o pago a provedores, fai máis difícil que esta administración sexa vítima deste tipo de fraudes, no sentido da realización dun pago a un provedor suplantado. 

Considérase, con base nas tentativas de fraudes reportadas á Policía Nacional por diferentes organismos da Administración Pública, que a dinámica delituosa que se está estendendo é a suplantación polas organizacións criminais de responsables públicos de contratos específicos. Para eles, os ciberdelincuentes desenvolven un engano a través de correos electrónicos baseado en datos precisos e pormenorizados de contratacións reais, enfocándose nas empresas provedoras como vítimas, tanto na modalidade de pagos fraudulentos a un organismo público suplantado, como pagos fraudulentos entre contratista e subcontratista. 

BEC, o tipo de intento de fraude que aumentou recentemente

Nos casos de fraudes BEC, no escenario aparecen pequenas empresas ou persoas físicas que, xa sexa de forma regular ou de forma ocasional, participan nunha operación de compravenda ou de prestación de servizos. Os termos da transacción negócianse entre as partes lexítimas mediante correos electrónicos fundamentalmente e, nalgúns casos, tamén mediante aplicacións de mensaxería instantánea. 

Neste tipo de fraudes, conséguese o acceso ilexítimo a unha ou a ambas as contas de correo implicadas e obtense información sobre os pagos esperados, datas, cantidades, persoas implicadas, mercadoría ou servizos cos que se comercia e estilo de linguaxe utilizada, entre outros.

Con esta información, a organización criminal defraudadora normalmente rexistrará unha dirección de correo cun aspecto visual moi similar ao da dirección auténtica utilizada polas partes lexítimas para suplantar a identidade dunha delas, normalmente a do vendedor ou provedor do servizo. Posteriormente solicitaban un debo económico pendente nunha conta bancaria controlada pola organización criminal, argumentando con calquera escusa que se produciu un cambio na conta bancaria habitual onde viñan recibindo os pagos lexítimos con anterioridade.

As fraudes afectan a todo tipo de entidades, empresas de todos os sectores e tamaños, clubs de fútbol, autónomos, inmobiliarias, produtoras de cinema e teatro, e, tamén recentemente, a organismos públicos.

CEO, a fraude mediante o que se suplanta a un alto directivo

As fraudes ao CEO (Chief Executive Officer) teñen en común ás fraudes BEC (Business E-mail Compromise) a suplantación da identidade dunha persoa con capacidade para ordenar ou solicitar pagos a outra parte implicada nunha transacción económica co fin de conseguir un transvasamento de fondos a unha conta bancaria controlada polo defraudador.

En ambos os casos é necesario dispor de información sobre a vítima e a súa contorna para construír un relato con suficientes datos obxectivos e certos que permitan xerar na vítima a crenza de que está a tratar coa persoa que está a ser suplantada.

Nos casos de fraudes ao CEO, a persoa suplantada é un alto directivo da empresa. A vítima, ademais da propia empresa, que será a que en última instancia sufra o prexuízo patrimonial, é un empregado do departamento de finanzas autorizado para realizar pagos a entidades externas. Neste tipo de fraudes, o escenario ideado para propiciar a transferencia de diñeiro cara á conta do defraudador é o dunha “operación estratéxica” da máxima importancia para a viabilidade da compañía.

Créase unha contorna pechada no que só teñen cabida o defraudador e o seu interlocutor dentro da empresa, insistindo desde as primeiras mensaxes na importancia de non compartir a información fóra dese círculo exclusivo que forman o suposto directivo e o seu empregado. Insístese en manter as comunicacións restrinxidas ao ámbito do correo electrónico co obxecto de evitar que o empregado identifique que a voz que se escoita alén do teléfono non é a do directivo real co que cre estar a tratar. 

Solicítase información sobre os saldos e liquidez da empresa, dado que esta información non adoita estar ao alcance de persoas alleas á compañía. Co obxecto de dar maior verosimilitud á falacia fanse alusións a entidades como a CNMV, que supostamente estaría a apoiar a operación, e solicitaranse documentos asinados polo directivo suplantado, que servirán para falsificar a súa firma e plasmala en documentos falsos achegados polo defraudador para reforzar a idea de que é o auténtico CEO da empresa o que está detrás da operación.

Unha vez conséguese dobregar a vontade da vítima, sucédense continuas solicitudes de transferencias de fondos que só finalizarán cando aquela decida que se excedeu o límite do razoable. En ningún caso o defraudador darase por satisfeito co conseguido. O engano continuará ata que a vítima páreo.

Extremar as precaucións e avisar á Policía Nacional

Para evitar que estas fraudes cheguen a cometerse, resulta necesario que tanto os responsables públicos dos departamentos de contratación como as empresas adxudicatarias e subcontratadas de contratos públicos extremen as súas precaucións. A detección de calquera tentativa destes tipos de fraudes debe ser posta en coñecemento, o máis axiña posible, da Policía Nacional para proceder á investigación dos feitos ocorridos e o descubrimento das organizacións cibercriminales dedicadas a esta modalidade delituosa.