Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Historia real: cómo pagué una factura a un ciberdelincuente que entró en mi cuenta de correo

Fecha de publicación 24/05/2022
Autor
Elisa Vivancos (INCIBE)
Historias Reales INCIBE

Es un viernes a última hora. El fin de semana está próximo y José Manuel tiene planes, se va a su segunda residencia en el sur. Se va a inflar a poner fotos en Instagram desayunando molletes y tomando vinos para ponerle los dientes largos a su jefe, que es su primo mayor. José Manuel es contable en un pequeño comercio familiar y está esperando un pedido de mercancía que repone mensualmente. Hace unos días que pagó la factura a su proveedor habitual, como suele hacer en cuanto le llega. Nunca ha tenido problemas.

Está un poco receloso, pues hace poco que cambió de proveedor, está contento con la mercancía y suele llegar a tiempo, pero esta última factura no le llegó tan rápido tras el pedido como de costumbre y, además, le comunicaban que habían cambiado de banco. Para colmo, aún no ha llegado la mercancía y su jefe lleva preguntándole desde el miércoles qué está pasando.

Ejemplo email fraude BEC

Para no demorarlo más decide llamar a Enrique, el proveedor:

José Manuel acuerda con Enrique pasarle el comprobante por correo electrónico. Al rato recibe una llamada de este:

José Manuel se disculpa con Enrique y se dispone a investigar qué ha pasado y a contárselo a su jefe. Antes se arma de valor y recordando lo que decía Homer Simpson: “normalmente no rezo, pero si estás ahí, por favor, sálvame Superman”.

Afortunadamente, no fue tan grave, sus peticiones tuvieron respuesta. Su primo se acuerda de que en la tele o Twitter ha oído hablar del 017 de INCIBE, así que le dice: “llama al 017, a ver si te ayudan a averiguar qué ha podido pasar y cómo arreglarlo”.

¿Qué ha podido pasar?

El amable técnico al otro lado de la Línea de Ayuda en Ciberseguridad le dice que ha sido víctima de un fraude BEC (Business Email Compromise) o compromiso del email corporativo.

Con la ayuda del 017, José Manuel se fija en que el mensaje que recibió procede de facturacion @ proovedor.com; es decir, que no se lo ha enviado Enrique, ha sido un ciberdelincuente que está suplantando a su proveedor. Ha cambiado una letra en el dominio y tiene dos “o” en lugar de dos “e”. ¡Como para darse cuenta!

Ahora ya sabe que no ha sido Enrique y, por tanto, que la factura no es la original. En esta factura han cambiado la cuenta de ingreso, pero la factura parecía la misma e incluso en el mensaje se expresa como Enrique. Nada más le hizo sospechar. ¿Cómo ha podido ser? ¿Dónde está el mensaje verdadero que sí le envió Enrique?

El técnico del 017 de INCIBE le ayuda a ver que un ciberdelincuente ha conseguido entrar en su cuenta de correo. Entre otras cosas, le pregunta si usa una contraseña única para entrar al correo corporativo. José Manuel confiesa que usa la misma para todo, como todo el mundo, pero que la tiene a buen recaudo.

No se lo dice por vergüenza, pero es la misma que usa para sus temas personales: la de Instagram, Twitter y plataformas para ver las series que tanto le gustan. El técnico le indica cómo comprobar si su contraseña está en alguna filtración de datos en Have I Been Pwned y, efectivamente, aparece en una filtración reciente. Además, la han conseguido descifrar, vaya, que la saben todos los ciberdelincuentes. José Manuel no sabe dónde meterse. La ha liado y gorda.

El técnico le dirige a las opciones de su cliente de correo, Outlook, para llegar adonde se configuran las reglas.

Configuración de reglas en Outlook

Juntos descubren una regla que ha debido crear el ciberdelincuente, pues desvía todos los correos que llegan del proveedor a un buzón externo y, además, los quita de la bandeja de entrada. ¡Menudo pájaro!

Así que José Manuel se da cuenta de que lleva un tiempo espiando toda su correspondencia y sabe todo sobre su empresa y operaciones comerciales. De esta forma, cuando llegó una factura, la editó para cambiar la cuenta y se la envió desde un correo que suplanta al de su proveedor, cambiando ligeramente el texto del mensaje de Enrique para que no se diera cuenta.

¿Cómo arreglarlo?

El cordial técnico del 017 de INCIBE le indica que se ponga en contacto a la mayor brevedad con su banco para revertir la transferencia, si aún está a tiempo. Afortunadamente, tras una llamada de su jefe, sí han podido hacerlo, con lo que José Manuel ha sentido un gran alivio.

José Manuel cambia la contraseña por una robusta, activa el doble factor de autenticación y borra la regla que creó el ciberdelincuente. ¡Esto no le vuelve a pasar!

Para finalizar, se le dan una serie de pautas para aprender a identificar la legitimidad de los correos electrónicos y le remiten al catálogo de ciberseguridad para que contacte con una empresa si necesitara ayuda técnica.

Recuerda que como José Manuel puedes contactar con nosotros a través del servicio Tu Ayuda en Ciberseguridad de INCIBE: la Línea de Ayuda 017, los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto para empresas, que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.

017 tu linea de ayuda en ciberesguridad