Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

Historias reales: a mi empresa suplantaron y a mis clientes engañaron

Fecha de publicación 12/06/2018
Autor
INCIBE (INCIBE)
Historias reales: a mi empresa suplantaron y a mis clientes engañaron

Laura es una joven empresaria que se dedica a la confección de complementos artesanales: pulseras, pendientes, tocados, etc. Tiene un pequeño equipo que le ayuda con las tareas artesanales, pero como lleva poco tiempo en el negocio es ella la que gestiona la promoción de sus productos a través de redes sociales, así como los encargos de sus clientes.

Poco a poco, sus artículos se hacen muy conocidos y empieza a afianzar clientes y a recibir pedidos importantes. A pesar de que el negocio ha crecido y Laura ha ampliado su plantilla sigue siendo ella la que se comunica con sus clientes, ya que le gusta dar una imagen de cercanía y confianza.

Hoy es un gran día para Laura, prácticamente acaba de terminar un importante pedido para uno de sus principales clientes. Como de costumbre, Laura avisa a su cliente de la inminente finalización del pedido y de que procederá a su envío en los próximos días, adjuntándoles la factura en el siguiente correo. El correo electrónico es la herramienta más usada por Laura para comunicarse con sus clientes ya que le ahorra tiempo, es fácil de gestionar y así guarda un registro de sus comunicaciones.

Al día siguiente, Laura recibía un correo del citado cliente desde su cuenta personal, comentándole que estaban teniendo problemas con su servidor de correo corporativo y que mientras sus informáticos lo solucionaban le escribiera a su dirección personal.

A Laura no le resultó extraño puesto que mantenía una relación de plena confianza con este cliente así que, una vez realizado el envío del pedido adjuntó la factura a la cuenta que le habían indicado. Lo que sí llamó su atención fue que pasaron varios días y no había recibido el pago del pedido por lo que Laura decidió llamarles por teléfono para ver qué había sucedido.

La respuesta de su cliente la dejó perpleja. Aseguraban haber recibido un correo de Laura comentándoles que había cambiado de cuenta de correo electrónico por problemas con la anterior y que el ingreso del importe de la factura debía realizarse en una cuenta nueva ya que había cambiado el banco con el que trabajaba de manera habitual. El modo en el que estaba escrito el mensaje seguía la línea habitual de Laura, por lo que nada hizo sospechar al cliente que no era ella la que estaba detrás de esa dirección de correo.

¿Qué fue lo que pasó realmente?

Laura tenía la mala costumbre de gestionar sus correos mientras tomaba café en su cafetería favorita utilizando la wifi pública de este establecimiento. Gracias a esta conexión insegura, un ciberdelincuente consiguió las credenciales de acceso a su correo, por lo que tuvo acceso a todos los mensajes que enviaba y recibía de sus clientes. Así el delincuente dio de alta una cuenta que hizo pasar por la nueva cuenta de Laura y debido a esta intrusión, supo imitar la manera en la que ella se dirigía a los clientes. Además, informó a su cartera de clientes del cambio de correo. Cuando el intruso supo del importante pedido decidió actuar y suplantar la identidad de Laura para conseguir que el ingreso de la factura se realizara en su cuenta en vez de en la de ella.

Afortunadamente, Laura se dio cuenta a tiempo de que algo raro estaba pasando y al comunicarse rápidamente con su cliente este pudo cancelar la transacción bancaria a favor del ciberdelincuente y recuperar el dinero.

¿Qué hacer si nos sucede esto?

Este ciberdelito es conocido como SCAM, un fraude online en el que existe perjuicio económico para la víctima y debe ser denunciado ante las Fuerzas y Cuerpos de Seguridad del Estado (Policía Nacional o Guardia Civil). Además, si necesitas soporte o asistencia, y te has visto afectado por algún tipo de engaño, INCIBE te ofrece su servicio de Respuesta y Soporte ante incidentes de seguridad.

¿Qué podemos hacer para que no nos suceda?

Siempre que recibamos un correo de cambio de datos de facturación, lo recomendable es verificarlo por un segundo canal. Es decir, si hemos recibido la comunicación por correo electrónico, establecer una comunicación por vía telefónica para confirmar dicha situación y viceversa. Al ser un proceso tan importante para la organización también sería conveniente la supervisión y validación por parte de más de una persona.

Para proteger las comunicaciones a través del correo electrónico y por ende, la información ligada a nuestra empresa, será necesario disponer de una política de uso del correo electrónico. Además, para proteger todos tus activos de posibles ciberataques puedes aprender cuáles son las medidas de seguridad específicas aplicables a tu sector a través de nuestra formación sectorial.