Con esta circular queremos poneros sobre aviso sobre el incremento alarmante de ataques phishing, o estafas informáticas. Este tipo de ataques se dirigen tanto a empresas como a particulares, si bien es cierto que los ciberdelincuentes se centran más en quienes presentan una mayor vulnerabilidad tecnológica.
En concreto os queremos informar acerca de una modalidad de delito informático, se trata del phishing o falsificación de facturas, que se está aumentando significativamente.
El phishing o falsificación de facturas
El phishing de facturas consiste en el cambio fraudulento del número de cuenta bancaria en la propia factura o documento mediante el que se solicita el pago, que se produce tras un ciberataque a la seguridad del emisor o del receptor de la factura.
- Cómo se produce:
Los ciberdelincuentes interceptan las cuentas de correo electrónico a través de su servidor, afectando a tanto a los sistemas de facturación como a las comunicaciones entre la empresa y sus proveedores o clientes.
Tras el acceso, modifican los detalles de las facturas, en especial el número de cuenta bancaria en la debería recibirse el pago. El número original es reemplazado por el número de una cuenta controlado por los ciberdelincuentes.
Este fraude es cada vez más sofisticado pues los delincuentes utilizan un dominio similar al del emisor de la factura de manera que ni el proveedor ni el cliente detectan la estafa y pagan. Una vez transferido el dinero a la cuenta fraudulenta, los atacantes suelen mover rápidamente los fondos a otras cuentas en países extranjeros, dificultando su recuperación.
En la mayoría de los casos, es extremadamente difícil recuperar el dinero una vez transferido a una cuenta controlada por los ciberdelincuentes. Los bancos pueden ofrecer cierta asistencia, pero la rapidez con la que los fondos se mueven y la complejidad legal de rastrearlos en diferentes países hacen que las probabilidades de éxito sean bajas.
Estas estafas producen graves perjuicios pues, además de la pérdida financiera directa, causa conflictos comerciales (reclamaciones legales y judiciales sobre quién es responsable de la pérdida), daño a la reputación y pérdida de confianza por parte de clientes, entre otros.
- Precauciones y Recomendaciones:
Claramente hay que tomar medidas contra este tipo de fraude que está en auge. Detectarlo a tiempo y tomar medidas preventivas es fundamental para minimizar el riesgo.
Las empresas deben adoptar un enfoque proactivo, con sistemas, como la factura electrónica y una seguridad robusta, procesos de verificación adecuados y una cultura organizacional que priorice la ciberseguridad.
Además, será importante estar atentos antes determinadas sospechas de manipulación, cómo:
- un cambio inesperado en la cuenta bancaria;
- detección de errores en las facturas (errores tipográficos, logotipos desplazados o datos erróneos de contacto).
- solicitudes de pago urgentes.
En todo caso, en caso de la más mínima duda o por precaución, recomendamos, confirmar la cuenta bancaria a través de un número de teléfono que tengamos en nuestra base de datos, y nunca utilizar datos de contacto en la factura recibida.
- Si has sido víctima de phishing en una factura:
Si has sufrido una estafa de este tipo deberás presentar una denuncia ante la Policía Nacional o la Guardia Civil, para que las unidades de la Brigada de Investigación Tecnológica o el Grupo de Delitos Telemáticos harán llegar a la Fiscalía de Delitos Informáticos cada caso para su investigación y persecución del delito.
Evidentemente, se ha de informar a la empresa supuestamente emisora de las facturas para que tome medidas y pueda proteger a sus clientes. También a los bancos para que puedan bloquear cuentas o tarjetas y evitar que se sigan produciendo transacciones fraudulentas.
El siguiente paso sería contactar con un perito informático especialista en correo electrónico, para certificar el carácter delictivo del archivo y reunir las pruebas documentales necesarias para poder realizar las reclamaciones que pudieran proceder: al seguro, al proveedor del servicio de mailing o a la entidad bancaria, en su caso.
Es importante saber que la jurisprudencia de los Tribunales sobre el phishing de facturas falsas no es clara en relación con el reparto de responsabilidad, pues no siempre recae sobre una única persona, por ello es conveniente extremar la diligencia a la hora hacer los pagos e implementar medidas de seguridad.
Como de costumbre quedamos a vuestra disposición para ampliar esta información y asistiros en esta materia.
