El fraude de la factura con el IBAN cambiado: un clásico que hace estragos entre las pymes

El fraude consiste en cambiar el número de la cuenta del proveedor (IBAN) que aparece en la factura que se adjunta en el correo en formato PDF. A veces, en el texto del correo se añade una frase del tipo «Recordamos que nuestro nuevo número de cuenta es xxx», para reforzar el engaño. La factura llega al pagador desde la dirección de correo habitual, de manera que no levanta sospechas.

Las víctimas de este tipo de fraude son autónomos y pymes, ya que las grandes compañías no se intercambian facturas en PDF, sino que utilizan programas de facturación electrónica.

¿Cómo es posible que los ciberdelincuentes puedan ponerse en medio de emisor y receptor, interceptar los correos y modificar su contenido antes de que llegue al destinatario? La respuesta es sencilla: porque o bien el correo electrónico del emisor o el del receptor se han visto comprometidos por un ataque; es decir, que está bajo control de los 'malos'.

Una vez tienen acceso al servidor de correo, los ciberdelincuentes no tienen más que crear reglas de correo para reenviar todos los emails procedentes o enviados al proveedor a su propia cuenta. Así pueden modificar a el IBAN de las factura y volver a enviarla.

«No es un ataque de alta sofisticación, hay muchas bandas haciéndolo y no tienen que tener ni siquiera conocimientos de programación; compran credenciales de correo filtradas que hay disponibles en Internet», explica Fernando Ramírez, 'country manager' de la empresa de ciberseguridad española Sofistic, que aporta la regla de oro para evitar este tipo de ataques: «Que siempre que haya un cambio de cuenta se haga una verificación por teléfono con la empresa proveedora», apunta.

Hay muchas maneras con las que los cibercriminales pueden acceder a un servidor corporativo. Desde el Instituto Nacional de Ciberseguridad (Incibe) enumeran algunas: «Pueden haber entrado en nuestra cuenta de correo por falta de concienciación si tenemos equipos sin acceso por contraseña; si tenemos las contraseñas a la vista o almacenadas en texto plano en el propio equipo; si utilizamos contraseñas poco robustas o si no utilizamos doble factor de autenticación. También la han podido obtener utilizando técnicas de ingeniería social o 'phishing'; o puede que hayamos instalado sin darnos cuenta un 'malware' para robar nuestras credenciales. También hay ataques automatizados con contraseñas comunes o contraseñas filtradas por brechas de seguridad».

En definitiva, los malos tienen muchas maneras de acceder a un servidor de correo de una empresa. Y una vez tendida la trampa, no es difícil caer. «La víctima que está esperando un correo con la factura del proveedor baja la guardia, presta menos atención y se confía, lo que hace que estos ataques sean muy efectivos. Además, es un fraude fácil para el ciberdelincuente pues puede obtener ingresos elevados y no precisa tener conocimientos avanzados», explican desde el Incibe.

¿Qué hacer si ya hemos caído en la trampa? Lógicamente, lo primero es avisar al banco lo antes posible, aunque el Banco de España recuerda que las transferencias son «mandatos de pago irrevocables y las entidades no están facultadas para ordenar la devolución sin el consentimiento del titular que se ha beneficiado». «Ahora bien, de conformidad con las buenas prácticas y usos financieros, a la entidad se le exige que haga esfuerzos razonables para tratar de recuperar el importe transferido, contactando con el banco receptor», matiza el regulador.

El Incibe aconseja reportar el incidente adjuntando el correo y sus adjuntos para su análisis a incidencias@incibe-cert.es, además de denunciar el fraude ante las Fuerzas y Cuerpos de Seguridad del Estado. Suele ser necesario realizar un análisis forense. «A nosotros nos lo piden mucho para este tipo de casos», apunta Ramírez.

Además, si a través del correo los malos han podido tener acceso a datos personales de clientes, la empresa afectada tiene que notificar el incidente antes de 72 horas a la autoridad de control competente.