La “Estafa del CEO”: así se produjo la investigación de este ciberfraude multimillonario y cómo se podría haber evitado

Escuchar Nota :
[responsivevoice_button voice="Spanish Female" buttontext="Play"]


El Timo Nigeriano probablemente sea una de las estafas online más populares de todos los tiempos, y que más quebraderos de cabeza ha dado a sus víctimas. En ella, los estafadores las engañan haciéndoles creer que tienen una gran fortuna o herencia (ficticia) esperándoles, y las persuaden para que paguen una cantidad de dinero por adelantado. Las sumas de dinero son elevadas, aunque parecen poco en comparación con las fortunas que les esperan. Pero los tiempos cambian, y las estafas online evolucionan con ellos. 

La Policía Nacional ha desarticulado una organización internacional que ha cometido fraudes millonarios a través de correos electrónicos. ¿Sus objetivos? Altos directivos de empresas. No en vano, la operación se ha denominado “Estafa del CEO” o “Business Email Compromise”.

Una auténtica trama a lo “Ocean’s Eleven” constituida como una empresa cibercriminal perfectamente organizada, donde cada miembro tenía una función específica. Estafadores profesionales, mulas, correos falsos, y muchos millones de euros son algunos de los ingredientes de esta trama que podría convertirse en un guion para Hollywood.

El timo: pescando con phishing 

El modus operandi consistía en acceder de forma ilegítima a las cuentas de correo electrónico de directivos de empresas mediante spear phishing. Es decir, enviaban emails fraudulentos que solicitaban las credenciales de las cuentas de email. Cuando una víctima caía en la trampa y les daba sus datos, inmediatamente los estafadores conseguían el acceso a sus correos electrónicos, y por tanto a todo tipo de datos confidenciales.

Una vez que tenían acceso al correo, enviaban a través de él otro correo malicioso a otros contactos de su agenda, también altos directivos. En él, simulaban compartir un documento en un servicio de almacenamiento en la nube. Para acceder, tenían que introducir usuario y contraseña. Una vez que las conseguían, simulaban un error en la descarga, para así evitar sospechas. Pero de nuevo, los estafadores habían conseguido acceso a nuevas credenciales, y así volver a llevar a cabo la operación una y otra vez y encontrar nuevas víctimas, todas ejecutivos y directivos de importantes empresas.

policia-ordenador

Para hacerse con el dinero, una vez que obtenían las credenciales de las víctimas, en ocasiones directamente suplantaban su identidad y operaban como titulares con las entidades bancarias de las empresas. Otras veces, hacían un seguimiento de los movimientos de la cuenta de correo, buscando transacciones en proceso con clientes o proveedores. En el último momento, intervienen con el envío de un correo suplantando la identidad de la cuenta monitorizada. No se trataba de un ataque a gran escala,sino muy dirigido y focalizado en determinadas personas y empresas.

Las cantidades estafadas iban desde los 20.000 euros en el “mejor” de los casos, hasta los 1.800.000 euros. La mayoría de las estafas se situaban alrededor de los 600.000 euros.

La organización: cibercriminales jerarquizados

La organización estaba perfectamente estructurada, compuesta por personas con diferentes perfiles, y con tareas diferenciadas.

Por un lado, cibercriminales que tenían como objetivo obtener las credenciales de acceso a los correos. Sus objetivos eran empresas que realizaban grandes transferencias internaciones.

Por otro lado, las “mulas”, captados por los miembros de la cúpula y que a cambio de una comisión facilitaban una cuenta puente para recibir las transferencias ilícitas.

Además, las “mulas cualificadas”, que convencían a las personas allegadas para que actuaran como intermediarios. La mayoría de ellos eran ciudadanos españoles, por lo general administradores de medianas empresas, que aportaban cuentas bancaras a nombre de personas jurídicas de las que eran titulares.

Pero no queda ahí, a estas se suma la figura de los “facilitadores”, quienes proveían documentación falsa para justificar ante los bancos la procedencia de las enormes transferencias recibidas, y que no fueran devueltas a la entidad emisora.

Y (ya por último), los “transportistas”. Estos hacían llegar el dinero a su destino final, mediante el método “euro a euro”. Consiste en depositar el dinero en efectivo en un punto de entrega (una tienda de productos africanos o un locutorio), recibiendo un código con el que poder retirar el dinero en el país de destino, en este caso, Nigeria. El responsable del punto de entrega recibe una comisión por la gestión, y coordina una red de envíos constantes de dinero a través de personas que suelen viajar a Nigeria.

Ya se han detenido 44 personas, de las que 43 estaban en España o una en Reino Unido. Entre esas personas, 17 de ellas eran los máximos responsables de la organización cibercriminal. Pero no eso, sino que entre los arrestados también se encuentran empresarios españoles que ayudaban en la trama, apoyando el blanqueo. Algunos de los líderes, de origen nigeriano, ocultaban la identidad en sus acciones.

Durante los registros realizados por las autoridades (la mayoría en España, en Madrid y Toledo, y en Reino Unido) se han encontrado una gran cantidad de dinero en efectivo, que posteriormente iba a ser enviado a Nigeria.

policia estafa

La investigación: colaboración internacional

La Policía Nacional comenzó a investigar en noviembre de 2014, como explican en la nota lanzada sobre el caso, a raíz de una denuncia de un ciudadano pakistaní. Este aseguraba que había sido estafado por una cantidad de 34.000 euros, que habían sido extraídos de su cuenta bancaria, y que habían sido transferidos a una cuenta española. Este fue el comienzo, pero otras denuncias similares hicieron que los agentes empezaran a sospechar que no se trataba de un caso aislado, sino de una trama criminal.

Las investigaciones llevaron a los policías a dar con varias personas que llevaban un locutorio en la madrileña localidad de Móstoles. Ellos recibían todo el dinero en metálico y organizaban los envíos a Nigeria en vuelos semanales.

La investigación se ha llevado a cabo con colaboración de otros países, como Nigeria, Estados Unidos, Reino Unido o Turquía, donde muchas empresas estaban siendo afectadas por estas estafas.

La conclusión: ¿dónde está la concienciación en seguridad?

Esta trama no sólo pone de manifiesto la gran labor de la Policía Nacional en este caso para llevar a cabo una investigación realmente compleja, teniendo en cuenta la dificultad de dar con personas detrás de una trama cibercriminal a través de Internet, con las opciones de anonimato que ofrece.

También pone de manifiesto la gran falta de conocimientos en seguridad informática (básicos, muy básicos) de grandes directivos y ejecutivos. Como tantas veces, este timo se basa en una ingeniería social muy básica, enviando emails fraudulentos (supuestamente muy elaborados, pero habría que verlos…).

Si tan sólo hubieran sabido qué es el phishing, a detectar posibles emails fraudulentos, o que no se deben introducir datos confidenciales o credenciales cuando se lo soliciten a través del email, se podría haber evitado el robo de millones de euros. Casi nada.

Fuente: globbsecurity

Comenta con tu cuenta de Facebook