El Banco de España insiste en la necesidad de protegernos ante los fraudes que proliferan día a día en estos tiempos de hiperconexión en los que reinan los smartphones y otros dispositivos electrónicos portátiles. En uno de sus últimos avisos, alertan concretamente de la necesidad de protegerse ante la estafa del pago de las facturas; lo que en inglés conocen como el BEC (Business E-mail Compromise), es decir, un tipo de delito que afecta a empresas que realizan pagos de facturas mediante transferencias.
Específicamente, lo que los ciberdelincuentes hacen es suplantar la identidad del proveedor encargado de remitir esas facturas tras el intercambio de información que se produce a través del correo electrónico y el receptor del mismo.
Tras ello, modifican el IBAN de la cuenta a la que debe realizarse la transferencia de dinero, engañando así a sus víctimas para que vaya a parar donde realmente no está destinado.
Para tener acceso a la información de la empresa, sus facturas y la dirección de correo del proveedor, previamente, el ciberdelincuente ha tenido que acceder al correo de la víctima, probablemente tras descifrar la contraseña.
Con todo ello, la estafa está servida, y nuestro dinero, de caer en el fraude, en manos del hacker informático.
Si somos víctimas de este fraude, realizando una transferencia a una cuenta falsa, el Banco de España advierte de la necesidad de contactar con nuestra entidad bancaria tan pronto como sea posible. En este punto, recuerdan: “Las transferencias son mandatos de pago irrevocables y las entidades no están facultadas para ordenar la devolución sin el consentimiento del titular que se ha beneficiado. Ahora bien, de conformidad con las buenas prácticas y usos financieros, a la entidad se le exige que haga esfuerzos razonables para tratar de recuperar el importe transferido, contactando con el banco receptor”.
Más allá, el Instituto Nacional de Ciberseguridad de España (INCIBE), añade que, dado que “el correo recibido con el número de cuenta del banco modificado es una evidencia que debe ser analizada”, se debería avisar también del incidente al propio INCIBE-CERT, a través del correo (incidencias@incibe-cert.es) de forma que llegue el correo con las cabeceras originales.
Tras ello, llaman a denunciar el incidente si se ha cometido el fraude, con el objetivo de “que se investigue el origen del delito ante las Fuerzas y Cuerpos de Seguridad del Estado”.
En esta línea, señalan que “si fuera necesario realizar un análisis forense para detectar donde se ha producido la brecha”, el afectado puede consultar “las empresas y soluciones del Catálogo de ciberseguridad”.
Por último, explican que, “si han tenido acceso a nuestro correo electrónico (o a los datos de algún cliente)”, se ha producido “una brecha de seguridad (según el artículo 33 del RGPD)” y “puede que se hayan visto afectados datos personales”. Por eso, de ser así, indican, “el responsable del tratamiento de la empresa tiene que notificar el incidente antes de 72 horas a la Autoridad de control competente, la AEPD o similar” en la comunidad autónoma.