Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Historias reales: un falso proveedor a mi empresa se la jugó

Fecha de publicación 08/08/2019
Autor
INCIBE (INCIBE)
Historias reales: un falso proveedor a mi empresa se la jugó

Este es el caso real de Alberto, un empresario que hace tres años fundó una pequeña empresa de marketing y diseño de cartelería. Actualmente tiene cinco empleados en plantilla y todo marcha mejor de lo previsto. Cada vez tienen más clientes y gracias a su buen hacer son muy conocidos en su sector. Debido al volumen actual de facturación, Alberto ha tenido que adquirir una aplicación contable que les facilite las tareas de administración. A esta aplicación únicamente tienen acceso Ángel, el responsable de contabilidad y el propio Alberto, mediante un usuario y contraseña que ambos comparten. Esta contraseña cumple con las recomendaciones de seguridad ya que tiene más de ocho caracteres incluyendo mayúsculas, minúsculas, números y caracteres especiales, y lo más importante, no contiene información que pueda identificar a la empresa o a Ángel o Alberto, como usuarios.

Una mañana de viernes, Ángel recibió un email del supuesto jefe de soporte técnico de la empresa de mantenimiento de la aplicación de contabilidad. En este correo le explicaba que se había registrado una anomalía en el sistema y que para solventarla necesitaba acceder a la aplicación utilizando el usuario y contraseña de la empresa. Por el tono del mensaje, Ángel pensó que se trataba de una incidencia grave así que decidió actuar con rapidez facilitando los datos de acceso del sistema de contabilidad a la falsa empresa de mantenimiento. Cuanto antes estuviera solucionado el error informático, antes podría reanudar su trabajo.

Ese mismo día Alberto se disponía a consultar unos datos contables a través de la aplicación cuando descubrió unos movimientos que no reconocía haber realizado. Alarmado, contactó con Ángel para ver si se trataba de algún error por su parte, pero Ángel tampoco reconocía dichas transacciones. ¿Qué podía haber pasado? Inmediatamente Alberto llamó al banco para informarles de lo ocurrido y así evitar más movimientos fraudulentos.

¿Qué fue lo que pasó realmente?

El correo que Ángel había recibido suplantaba la identidad de la empresa que lleva el mantenimiento de la aplicación de contabilidad, una técnica conocida como email spoofing. A través de este tipo de correos se engaña al usuario suplantando una identidad con la que el trabajador está familiarizado. En este caso los ciberdelincuentes crean una necesidad urgente con el pretexto del mal funcionamiento de la aplicación para conseguir las credenciales de usuario y así hacerse con el control de la misma.

¿Qué hacer si nos sucede esto?

Al igual que Alberto, si hemos sido víctimas de este tipo de engaño y los delincuentes se han hecho con nuestras credenciales de acceso, el primer paso será cambiar la contraseña para impedir que vuelvan a acceder. Como en este caso, si además se encuentran involucradas nuestras cuentas bancarias, también debemos ponerlo en conocimiento del banco para evitar futuras transacciones no deseadas. Además, debemos denunciar lo sucedido ante las Fuerzas y Cuerpos de Seguridad del Estado (Policía Nacional o Guardia Civil).

Si has resultado afectado por algún problema de seguridad y necesitas soporte o asistencia, INCIBE te ofrece su servicio de Respuesta y Soporte ante incidentes así como la Línea de Ayuda en Ciberseguridad. No dudes en consultarnos, nuestro equipo de expertos te ayudará a solucionar tu situación.

¿Qué podemos hacer para que no nos suceda?

Para evitar ser víctima de un fraude de este tipo, lo primero será comprobar que el remitente es quien dice ser y no está suplantado una identidad que ya sea de nuestra confianza. Para llevar a cabo esta comprobación, tendremos que analizar las cabeceras de los correos. También puedes implantar medidas de protección para evitar el fraude en el correo electrónico.

Además debemos implantar en la organización una política de uso del correo electrónico que sea utilizada por todos los miembros de la plantilla.

Ahora que has aprendido a identificar los correos de suplantación de identidad, no bajes la guardia y presta mucha atención a las comunicaciones que realizas con terceros.

Etiquetas