Las sofisticadas estafas que atacan a las empresas catalanas: peinan incluso las redes sociales de la plantilla
Los ciberdelincuentes recurren a fallos de seguridad de las compañías y a la ingeniería social para conseguir hacerse con grandes sumas de dinero
10 febrero, 2024 00:00Noticias relacionadas
- Así es la última estafa online que suplanta a Endesa
- Largas colas en sucursales bancarias de ING tras la denuncia de un cliente estafado
- Usuarios de ING reciben falsos mensajes para desactivar su cuenta tras la estafa a un cliente
- ING alerta a la desesperada a sus clientes tras semanas de ciberataques con intentos de estafa
Las empresas tampoco se libran de las estafas. Así lo confirman los Mossos d’Esquadra, que persiguen a estos ciberdelincuentes, cada vez más profesionalizados y que recurren incluso a lo que los agentes denominan ingeniería social para lograr hacerse con ingentes sumas de dinero.
Lo explica Xavier Ibarz, agente de la Unidad Central de Proximidad del cuerpo policial catalán. Alerta de que los estafadores simulan ser socios, proveedores o clientes de las compañías para desplumarlas.
Robo de datos
El origen de estas estafas acostumbra a estar en un error humano: lo más habitual es una fisura en algún ordenador desprotegido o la mala praxis de un trabajador que, con el móvil o portátil de la empresa, se conecta a una red wifi pública de una cafetería, hotel o aeropuerto.
Esta, alerta Ibarz, es una vía de entrada para los ciberdelincuentes, que aprovechan para robar datos sensibles y venderlos a través de la dark web. En la capa más profunda de internet, los estafadores se rifan estos paquetes. Así, pueden acceder a información confidencial de las compañías, como facturas, que posteriormente utilizan para embaucar a la plantilla.
Suplantan a proveedores
Los ciberdelincuentes estudian a sus víctimas y saben, por ejemplo, que si realizan una llamada a última hora, existe una mayor probabilidad de éxito. “Es la típica llamada de los viernes a última hora de la tarde, cuando los jefes o el personal de administración ya se han ido y pillan desprevenido al trabajador”, que no tiene a quién recurrir, señala el agente.
Así, se hacen pasar por proveedores molestos que reclaman un pago de forma urgente, bajo amenaza de cortar el suministro de un cierto producto o servicio. Si tienen la suerte de que el empleado que aún está en la oficina tiene capacidad de realizar esta transferencia, porque tiene autorización de la compañía para ello, logran el objetivo sin mucho esfuerzo.
“Es habitual que envíen una factura que previamente han robado y que han modificado, incluyendo otro número de cuenta distinto al que utiliza el proveedor al que están suplantando”, añaden los policías catalanes que lidian cada día con este tipo de errores humanos. Las sumas de dinero que logran sustraer con este mecanismo, a veces, se elevan a decenas de miles de euros.
El peligro de las redes
Estos delincuentes también utilizan la ingeniería social para conocer los movimientos de las empresas, peinando, por ejemplo, las redes sociales de sus trabajadores. “Hemos tenido casos en los que sabían, por ejemplo, que la encargada estaba de baja”, sostiene Ibarz. Ni siquiera les hace falta recurrir a la dark web, sino que les basta con haber visto un mensaje de un compañero que le desea una pronta recuperación en Instagram o una foto en el hospital para saberlo.
En estos casos, llaman preguntando por esta persona, dirigiéndose a ella por su nombre para dar una mayor credibilidad, y alegan que esta es quien abona cierto servicio y, en su ausencia, piden que realicen el citado movimiento bancario: “Los trabajadores les acaban cayendo”.
Recomendaciones para evitarlo
Para prevenir este roto en las arcas de la compañía, desde Mossos d’Esquadra recomiendan establecer protocolos de pago, de forma que para abonar una gran suma de dinero sean varias personas las que tengan que verificarlo. “Ante la duda, si el jefe o supervisor no está, es mejor no aventurarse”, aconseja el agente. “Lo mejor es ser crítico y desconfiado”, sentencia.
Además, sostienen que “rara vez” los proveedores ponen entre la espada y la pared a las empresas, bajo amenaza de cortar un servicio o suministro si no se realiza un pago de forma inminente. Aseguran que en este tipo de estafas los delincuentes suelen mostrar agresividad. “Son llamadas amenazantes, apocalípticas, y en las que juegan con las prisas”, subraya.
Las grandes empresas se blindan
En caso de no estar seguros de que quien se encuentra al otro lado de la línea es un cliente o proveedor habitual, recomiendan cerciorarse contactando directamente con ellos y comprobando siempre que el número de cuenta sea el correcto. Además, piden evitar hacer pagos mediante bitcoins o plataformas de reembolso. En caso de caer en la trampa, el tiempo apremia. Lo más importante es comunicarlo a la entidad bancaria de forma inmediata para tratar de frenar la transacción.
Las grandes empresas ya han comenzado a blindarse y cuentan con sus propias empresas de ciberseguridad. Ellas son las principales interesadas en que sus clientes no sean víctimas de estafa, porque aunque en algunos casos no se responsabilizan, en muchos otros sí. “Los bancos, por ejemplo, hacen grandes campañas que son apropiadas, proporcionales y necesarias” y que han demostrado que funcionan, subraya Ibarz.
Denunciarlo y comunicarlo
En caso de ser víctima de una estafa, por pequeña que sea, desde Mossos d’Esquadra recomiendan denunciar. Explican que esto les ayuda a generar conocimiento policial., además de a resolver un delito y evitar que los delincuentes digitales sigan operando a sus anchas.
Cuando se trata de una tentativa en la que una compañía reconoce a tiempo que se trata de un engaño, pero ha estado a punto de picar el anzuelo, aseguran que es "interesante", aunque no se denuncie, comunicarlo. Para ello disponen de un correo (internetsegura@gencat.cat) en el que recogen este tipo de información y proporcionan asesoramiento a los afectados.