Actualmente existe mucha publicidad entorno a las nuevas convocatorias de las ayudas provenientes de los fondos europeos Next Generation. Una de ellas son las del programa Kit Digital que buscan la mejora en la digitalización de nuestras empresas, y que curiosamente, también pretenden mejorar la ciberseguridad.
Pues bien, los ciberdelincuentes aprovechan esta publicidad de los procesos de licitación para recabar información y atacar a las empresas y administraciones usurpando identidades.
Según Europol, la experiencia reciente de la evolución del panorama criminal durante la pandemia de COVID-19 sugiere que las ayudas Next Generation EU atraerán a grupos cibercriminales activos en la Unión Europea y de más allá.
Por este motivo Europol ha activado la operación Sentinel para prevenir delitos con los fondos “Next Generation”.
Los 19 Estados miembros de la UE han unido sus fuerzas como parte de la Operación Sentinel para garantizar que los fondos de recuperación se destinen de forma correcta a fortalecer nuestras economías y la resiliencia de nuestras comunidades, estos son: Austria, Bélgica, Croacia, Dinamarca, Estonia, Finlandia, Francia, Grecia, Irlanda, Italia, Lituania, Malta, Países Bajos, Polonia, Portugal, Rumanía, Eslovenia, España y Suecia.
¿Cómo funciona la estafa “Man in the middle”?
Los expertos la han denominado así porqué la estafa consiste en suplantar a una de las dos partes que están llevando a cabo una transacción económica habitualmente derivada de la prestación de un servicio. Existe un emisor y un receptor, que se comunican a través de un dispositivo tecnológico y que desconocen que hay un tercero que está espiando y que finalmente se interpone. Y cómo lo hace es la clave de este delito que tiene en la llamada “estafa al CEO” su variante más extendida, según explica el inspector jefe del Grupo de Ciberdelincuencia de la Comisaría Provincial de Málaga, Andrés Román, que sostiene sin ninguna duda que «es la principal estafa contra las empresas y los organismos públicos».
Según Andrés Román «no tenemos una buena radiografía de su incidencia» ya que las víctimas no siempre denuncian porqué puede afectar a su «imagen y reputación».
Con los datos recabados hasta el momento podemos explicar las técnicas de usurpación que han sido usadas.
El primer paso del ciberdelincuente, tras un barrido por Internet recopilando datos de posibles víctimas, es monitorizar conversaciones entre la compañía y la administración. Hay acceso a «fuentes abiertas» de la Red con mucha información sobre los procesos de licitación y adjudicación de los contratos públicos en los que se detallan cantidades económicas, nombres de empresa, vías de contacto y hasta nombres del personal.
El segundo paso, una vez elegido el objetivo, es entrar en sus sistemas para espiar las conversaciones —habitualmente— mantenidas a través de correos electrónicos. Román explica que hay dos formas: «Por infección», con la introducción de un ‘malware’; o «utilizando la ingeniería social» para engañar.
Y el tercer paso, cuando ya consiguen monitorizar las comunicaciones y tienen conocimiento de la existencia de un pago pendiente, intervienen suplantando la identidad de una de las partes. La forma más habitual es crear una dirección de correo electrónico muy similar al de la parte que reclama el abono de la cantidad adeudada y que únicamente se suele diferenciar de la original por una palabra. El ciberdelincuente llega a clonar la imagen corporativa de la compañía, así como sus datos, pero introduce una cuenta corriente bajo su dominio para que realicen la transferencia. «Para evitar cualquier sospecha, utilizan excusas como que el número que tenían era muy antiguo», señala el mando policial, que explica que la segunda modalidad es prácticamente igual, aunque técnicamente es algo más compleja porque el estafador consigue ocultar su verdadera dirección de email con una «técnica de ofuscación». En la tercera y última tipología detectada, se hace con el «control absoluto»: tiene acceso total al sistema, a las cuentas de correo y puede enviar comunicaciones reales.
En la ingeniería social el delincuente se hace pasar por algún funcionario para reclamar a la empresa adjudicataria las facturas pendientes de pagar. Una vez las tiene a su disposición, sabe las cantidades que puede estafar e inicia el proceso de suplantación.
Los procesos de la estafa pueden variar y combinarse, incluso llegan a realizar llamadas telefónicas para reforzar el engaño.
Andrés Román explica que ha investigado denuncias que ascienden hasta los 350.000 euros y recuerda el caso concreto de un empresario al que los ciberdelincuentes llegaron a engañar en tres ocasiones.
¿Cómo evitar la estafa “Man in the middle”?
La mejor medida de protección a parte de verificar siempre los interlocutores es aplicar a cada transacción la doble autentificación. «Si nos llaman de la empresa o la administración ‘X’ reclamándonos un pago pendiente. No ingresar sin más. Llamar por teléfono y confirmar la veracidad de esa comunicación». Una gestión que no supone ningún esfuerzo y que puede evitar millonarios quebraderos de cabeza.