Redacción.-
Hay dos personas detenidas en una trama en la que ‘secuestraron’ un email enviado por una empresa que contenía una factura. Modificaron este documento cambiando el número de cuenta original por otro personal de los ciberdelincuentes y lo reenviaron, para que ellos fueran los receptores del dinero transferido. La rápida y eficaz respuesta de los investigadores ha permitido descifrar el itinerario seguido por el dinero, bloquear policialmente la cuenta y recuperarlo íntegramente.
10 de julio de 2023.- La Guardia Civil, en el marco de la Operación ‘MITMBUR’, ha detenido a MFA (23) como presunto autor de un delito de estafa y a ARL (26) como presunto autor de otro delito de estafa en grado de tentativa. Ambos, en connivencia, utilizaron el método ‘Man in the Middle’ en su versión BEC (Business Email Compromise) para secuestrar un email, suplantar la identidad de la empresa emisora y cambiar el número de cuenta en una factura, obteniendo fraudulentamente el dinero transferido.
Los hechos ocurrieron en diciembre del pasado año, cuando una empresa contrató los servicios de otra compañía. Tras realizar el trabajo, la empresa emitió una factura por un importe de 55.272 euros, la cual envió por correo electrónico para su abono. La parte contratante recibió el email, que ya había sido manipulado y era fraudulento, con la factura y transfirió la cantidad solicitada al número de cuenta indicado.
Poco después, recibió un segundo correo electrónico de la misma compañía adjuntando una factura idéntica, pero con un número de cuenta diferente. En esta ocasión, la víctima no realizó ningún pago y se percató de la duplicidad del envío.
Ambos empresarios se dieron cuenta de que todo había sido un fraude, ya que los números de cuenta no coincidían con los reales de la empresa contratada, que además no había recibido ninguna cantidad.
Desarrollo de la investigación
Tras presentar la correspondiente denuncia, se inició una compleja investigación que confirmó el engaño. La respuesta rápida y eficaz de los investigadores, centrados desde el primer momento en el seguimiento y trazabilidad del dinero enviado, permitió localizarlo en una segunda cuenta a la que había sido transferido, con la intención de dificultar su rastreo. La cuenta fue bloqueada por la policía y se logró recuperar todo el dinero entregado.
Se comprobó que la empresa emisora había enviado un único email con una sola factura, y se verificó que el número de cuenta de esta empresa no coincidía con ninguno de los presentes en los correos electrónicos fraudulentos recibidos por la víctima. Ambas partes cayeron en la trampa: una empresa fue suplantada y la otra estafada.
El estudio y análisis de la ‘huella digital’ dejada por los autores, que actuaron en connivencia, ha permitido su identificación y localización, lo que condujo a su detención en Valladolid y Madrid.
El modus operandi
Los detenidos captaron el email auténtico, suplantaron la identidad de la empresa y cambiaron el número de cuenta bancaria que figuraba en la factura original, reemplazándolo por los números fraudulentos que ellos proporcionaron para beneficiarse del dinero.
Además, intentaron duplicar la factura con el objetivo de obtener un beneficio ilegal doble, aunque no lo lograron.
Estafa por el método ‘Man in the Middle’
Un ataque por el método conocido como ‘Man in the Middle’ (MITM) se produce cuando un hacker interviene en la transmisión de datos entre dos partes que están realizando una comunicación electrónica. El hacker se hace pasar por una o ambas partes, ‘secuestra’ la información, la manipula y hace creer a los implicados que están comunicándose entre sí.
En este caso, los atacantes actuaron como intermediarios en la comunicación, suplantando la identidad de una o ambas partes, de modo que los datos siempre pasaban por ellos antes de ser reenviados al destinatario. Aunque el contenido viajaba cifrado, los ciberdelincuentes lograron descifrarlo, manipularlo y transmitirlo nuevamente al destinatario, sin que este ni la empresa prestadora del servicio fueran conscientes del ataque y del engaño.
Para este tipo de conductas relacionadas con estafas, nuestro Código Penal contempla penas que, en su grado máximo, pueden suponer una multa de hasta tres meses y una pena de prisión de hasta tres años, aunque estas penas pueden agravarse si concurren otras circunstancias o si se cometen otros delitos.
La Guardia Civil destaca la importancia de la colaboración ciudadana y la necesidad de denunciar. Para ello, pone a disposición el número de teléfono 062 y la aplicación de alertas «alertcops». Cualquier información o colaboración en el ámbito de la seguridad ciudadana, vial, patrimonial o medioambiental se trata de manera discreta y anónima.
