Cada vez más empresas pertenecientes a la industria de la transformación en México han sido víctimas de fraudes cibernéticos cuyo vector de ataque son correos electrónicos en los que se suplanta la identidad de sus proveedores para que realicen transferencias electrónicas internacionales a cuentas bancarias de ciberdelincuentes.

El Equipo de Respuesta a Incidentes de Ciberseguridad (CERT) de Mnemo alertó sobre un incremento en el número de compromisos de correo corporativo que viven estas empresas. En el 2017 y los primeros trimestres del 2018, el número de casos reportados era de dos. Para los meses de agosto, septiembre y octubre del 2018, los eventos se incrementaron 100% cada mes, por lo que en octubre pasado se registraron hasta ocho casos. El monto defraudado mediante este método oscila entre 25,000 y 100,000 dólares por evento, con un promedio de 60,000 dólares.

Mnemo es una compañía de ciberseguridad de origen español con presencia tanto en la península ibérica como en México y Colombia. A principios del 2017, Mnemo-CERT detectó una campaña de ciberataques en contra del sistema financiero mexicano que dan la impresión de haber sido ensayos para los ataques que desde abril del 2018 causaron un cisma en el Sistema de Pagos Electrónicos Interbancarios (SPEI) y que obligaron a las autoridades a redefinir el esquema de ciberseguridad de la banca en México.

Eduardo Espina, director de Ciberseguridad de Mnemo-CERT, reveló a El Economista que la industria de la transformación es la más afectada por este tipo de fraude debido a que buena parte de su cadena de proveeduría se ubica en el extranjero, por lo que no es extraño que deban hacer transferencias hacia bancos de otros países con frecuencia.

De acuerdo con Espina, los ciberdelincuentes han llegado a interferir las redes de las empresas de manera remota para realizar capturas del tráfico y conocer las fechas en las que realizan sus pagos a proveedores específicos y destacó que los bancos a los que se dirige el dinero defraudado se encuentran en países de Asia y Europa principalmente, por lo que es sumamente difícil realizar la atribución del delito a un individuo o grupo en particular.

El proceso de compromiso contra estas empresas es el siguiente:

  1. El proveedor de la empresa en México le envía una solicitud legítima de pago vía correo electrónico para que ésta realice una transferencia electrónica internacional.

  2. Minutos más tarde, los ciberdelincuentes envían un correo electrónico que suplanta la identidad del proveedor en el que refieren que la transferencia electrónica no se efectuó por lo que el pago debe ser reenviado a una cuenta diferente.

Ejemplo de uno de los correos electrónicos fraudulentos enviados por ciberdelincuentes. Fuente: Mnemo-CERT

3. La empresa en México efectúa la transferencia a la cuenta indicada en el correo apócrifo enviado por los ciberdelincuentes.

4. Los defraudadores confirman que la transferencia se realizó exitosamente y que recibieron el dinero.

5. Los proveedores, al no recibir los pagos en las fechas acordadas con la empresa en México, lo notifican a esta y es cuando ambos se percatan de que han sido víctimas de una estafa.

De acuerdo con Espina, también se ha afectado a personas físicas que son clientes de la industria inmobiliaria, quienes han realizado transacciones relacionadas a la compra de bienes inmuebles, donde el corredor de bienes raíces supuestamente proporciona una nueva cuenta de depósito de un anticipo la cual en realidad es la cuenta de un ciberdelincuente.

Para evitar ser víctimas de este tipo de ataques, el director de Ciberseguridad de Mnemo-CERT recomendó a las empresas en México validar por otra vía que no sea el correo electrónico cualquier cambio en las cuentas de sus proveedores, así como establecer mecanismos de verificación de correo electrónico como firmas y llaves electrónicas.

Algunas otras de las recomendaciones de Espina son las siguientes:

  1. Difundir el esquema de operación de este tipo de fraude al personal propio, de los clientes y de los proveedores, sobre todo a aquel que esté a cargo de la solicitud y envío de pagos a través de transferencias electrónicas.

  2. Evitar dar detalles personales en las solicitudes enviadas por correo electrónico.

  3. Realizar cambios en las contraseñas de correos de manera periódica y mantener un estricto control de estas.

Esquema de operación del compromiso mediante correo corporativo. Fuente: Mnemo-CERT

rodrigo.riquelme@eleconomista.mx