Las estafas online son una amenaza constante cuando usamos tecnología, y muchos estafadores dedican grandes cantidades de tiempo e inventiva a dar forma a estafas cada vez más complejas y difíciles de detectar. Pero lo cierto es que, cuando no se toman las medidas preventivas adecuadas y/o nos creemos lo primero que nos llega por redes o por email, hasta las estafas más simples puedes terminar haciéndonos perder decenas de miles de euros.
Algo así le ha pasado al Ayuntamiento de Vitoria, que ha denunciado ante su Policía Local un fraude vinculado al pago de varias facturas "al producirse la suplantación de identidad de una empresa proveedora". Dicha suplantación de identidad no tuvo detrás ninguna avanzada estrategia de ingeniería social, ni técnicas de phishing, ni suplantación de certificados…
Una estafa muy sencilla
…sencillamente, el consistorio recibió el 9 de marzo un email que suplantaba la personalidad de la empresa, y en el que se le avisaba de un "cambio de la cuenta bancaria de referencia", tras lo cual se le remitieron también "certificados bancarios fraudulentos", para referenciar futuros pagos de facturas.
Con esta información y otros mensajes supuestamente emitidos por la empresa, el departamento de Políticas Sociales del ayuntamiento vitoriano procedió a realizar diversos pagos entre marzo y junio por un valor conjunto de 89.991 euros.
Obviamente, esta técnica tenía fecha de caducidad: el fraude quedo en evidencia tan pronto como los servicios administrativos de la empresa suplantada se pusieron en contacto —el pasado 13 de junio— con el Ayuntamiento para "solventar dudas de facturación":
"Desde entonces se han formulado diferentes consultas con la entidad bancaria utilizada, con el departamento de Administración Municipal (que ha investigado la suplantación del correo electrónico) y con la empresa afectada […] El Ayuntamiento trabaja en la posibilidad de recuperar parte de la cantidad defraudada".
Cómo evitar que vuelva a ocurrir
Al menos, la institución ha tomado nota para el futuro, anunciando que ahora prepara "una mejora en los mecanismos de modificación y alta de cuentas bancarias con terceros" para reforzar la seguridad ante situaciones como ésta.
En estos casos, los consejos de los expertos para impedir —o, como mínimo, dificultar— que una organización sea víctima de un caso de fraude de facturas suelen incluir medidas como las siguientes:
Crear canales de comunicación efectivos para poder verificar las solicitudes de pago: No es lo mismo, por ejemplo, que cualquier cambio de datos dependa de una plataforma municipal que requiera un registro previo a que cualquier e-mail aparentemente legítimo pueda servir para inducir un cambio en los datos bancarios.
Proporcionar a la plantilla formación en prevención de riesgos y ciberataques: que un funcionario sepa qué es el phishing, el spoofing o la ingeniería social puede ser un buen sistema para evitar que termine siendo víctima de esta clase de ataques.
Recurrir al sentido común: una notificación de cambio de cuenta o entidad bancaria no es algo que recibamos todos los días, y debe ponernos sobre alerta siempre, animándonos a comprobar algunos aspectos obvios:
- ¿Esta empresa suele ponerse en contacto con nosotros por correo electrónico?
- Y si es así, ¿esta es la dirección de email de la empresa que nos ha escrito otras veces?
- ¿Pertenece, siquiera, al mismo dominio?
Ver todos los comentarios en https://www.genbeta.com
VER 6 Comentarios