Instituto Nacional de ciberseguridad. Sección Incibe

Fraude BEC a través de una empresa intermediaria

Fecha de publicación 30/01/2024
Fraude BEC a través de una empresa intermediaria

¿Qué ha ocurrido?

En esta ocasión, recibimos en la ‘Línea de Ayuda de Ciberseguridad’ de INCIBE la llamada, a través del 017, de una usuaria dueña de una tienda. 

Decidió ponerse en contacto con nosotros, tras haber sido víctima de un fraude en el que su tienda estaba actuando como intermediaria, entre un proveedor y un cliente que intentaba comprar uno de sus productos a través de ella.

Nos contó que, durante las conversaciones que estaban manteniendo para llegar a un acuerdo, recibió un correo electrónico, supuestamente del proveedor, en el que le informaba de un nuevo número de cuenta bancaria para recibir los pagos. 

Al recibir este correo, nos comentó que no le había levantado ningún tipo de sospecha, ya que estaba incluido en un hilo de otros correos que habían intercambiado anteriormente. Acto seguido, informó a su cliente sobre el nuevo número de cuenta, al que posteriormente hizo la transferencia.

Hasta ese momento, pensaba que toda la transacción se había realizado correctamente, pero días después, recibió una llamada telefónica del proveedor comentándole que no había recibido el dinero acordado.

Al estar segura de que su cliente había realizado la transferencia, empezó a sospechar que su proveedor había sido suplantado y su cliente estafado.

Nos contactó muy nerviosa, puesto que no sabía cómo habían podido intervenir estos correos.

¿Qué pautas le hemos dado?

En primer lugar, le explicamos que los ciberdelincuentes habrían tenido acceso a los correos electrónicos de su proveedor y los habría manipulado de forma fraudulenta. Este tipo de fraude recibe el nombre de BEC (Business E-mail Compromise o correo electrónico corporativo comprometido), y la técnica utilizada es conocida como MITM (Man in the middle o hombre en el medio).

Le comentamos que la brecha de seguridad podría provenir en alguna de las dos partes de la comunicación, es decir, tanto de ella como de su proveedor, por lo que las siguientes pautas de actuación deberían ser realizadas por ambas partes:

  • Comprobar las reglas y los filtros de reenvío en el buzón de correo. 
  • Revisar los logs de acceso. 
  • Examinar los usuarios de acceso al correo y eliminar los que no se reconozcan, en caso de existir.
  • Comprobar los sistemas de monitorización y el tráfico SMTP.
  • Actualizar las contraseñas de acceso.
  • Activar el segundo factor de autenticación, siempre que sea posible.
  • Usar soluciones y herramientas antivirus/antimalware periódicamente.
  • Mantener todos los sistemas actualizados.
  • En caso de disponer aún del correo electrónico fraudulento, reportarlo a nuestro equipo de incidentes de INCIBE-CERT. 
  • Recabar todas las pruebas posibles. 
  • En el caso del proveedor, interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado por suplantación.
  • En caso de sospechar de que exista peligro de acceso a datos sensibles por parte de los ciberdelincuentes, el responsable de Tratamiento de Datos de la empresa deberá ponerse en contacto con la AEPD para informarles sobre la brecha de seguridad sufrida antes de que pasen 72 horas de los hechos.

En el caso del cliente:

  • Recopilar todas las pruebas de los hechos acontecidos.
  • Interponer una denuncia ante las Fuerzas y Cuerpos de Seguridad del Estado por estafa.
  • Acudir a su entidad bancaria con una copia de la denuncia para intentar recuperar su dinero.
  • En caso de no conseguirlo, presentar una reclamación para recuperar el importe a través del Banco de España.

Por último, le indicamos que ante cualquier duda que les pueda surgir, tanto a ella como a su proveedor o su cliente, pueden volver a contactar con el servicio ‘Tu Ayuda en Ciberseguridad’ de INCIBE, de 8:00 a 23:00, los 365 días del año.

Tu Ayuda en Ciberseguridad