El placer de los estafadores

Los ciberdelincuentes raras veces descansan, siempre y en todo momento buscando vulnerabilidades para explotar, y ahora están apuntando poco a poco más a las transacciones comerciales privadas en lo que se conoce como un ataque de compromiso de e-mail empresarial (BEC). En tal violación, un ciberdelincuente se infiltra en el sistema de e-mail de una empresa y se hace pasar por el propietario de una importante cuenta de correo de la empresa. Fingiendo ser un ejecutivo concreto, el ladrón envía un correo a otra empresa con la que el primero tiene una relación continua, mandando instrucciones de envío de dinero legítimamente adeudado a una cuenta corriente establecida y controlada por los autores del plan.

El receptor del correo electrónico, pensando que el mensaje es genuino, trasfiere el pago a la cuenta del delincuente. Para cuando los 2 negocios se percatan de que han sido engañados, ya es demasiado tarde, y el dinero que el segundo envió al primero ya ha desaparecido.

¿Qué pasa después de algo como esto? ¿Puede una compañía victimizada recuperar los fondos robados? ¿Puede aguardar recobrarse del propio criminal? Si no se puede hallar al autor, ¿puede la compañía defraudada recuperar el dinero del que ha pirateado sus sistemas?

El hackeo de empresas es un buen negocio

Según el Centro de Demandas de Delitos en Internet del FBI (conocido como "IC3"), los ciberataques del BEC contra empresas estadounidenses han causado más de ocho mil doscientos millones de dólares americanos en pérdidas desde dos mil trece, con mil setecientos millones de dólares estadounidenses adicionales en pérdidas ajustadas sólo en dos mil diecinueve, las mayores pérdidas de bolsillo estimadas de cualquier clase de delito cibernético en ese período. El IC3 asimismo estima que las pérdidas mundiales han superado los veintiseis millones de dólares estadounidenses en los últimos 3 años. Puesto que muchos de estos delitos no se denuncian, la cifra real es probablemente mucho más alta.

Los ataques del BEC se producen cada vez más en las transacciones comerciales privadas porque los criminales, simplemente, ven la vulnerabilidad. Las compañías participan en intercambios regulares en los que el comprador compra una cantidad determinada de bienes a un vendedor y, con el tiempo, los ejecutivos establecen relaciones con sus análogos. La naturaleza de este intercambio amistoso en general produce un grado de confianza del que los ciberdelincuentes se aprovechan con entusiasmo.

En un escenario típico, un ataque BEC se produce con el criminal apuntando a un ejecutivo de una empresa determinada. Afirmemos que la compañía A suministra piezas de vehículos a la empresa B en un horario establecido, para lo que esta última le trasfiere el pago. Sabiendo esto, el criminal se infiltrará en el sistema de e-mail de la Compañía A, a menudo por medio de un esquema de "phishing", enviando un correo electrónico falso o bien un link web. Una vez que se hace clic en él, la cuenta objetivo se ve comprometida. El delincuente puede entonces monitorear los mensajes y la actividad de la cuenta, familiarizándose con la forma en que el ejecutivo de la compañía A utiliza el e-mail y cómo precisamente se producen las transacciones con la compañía B. Al advertir una buena oportunidad, el criminal manda un mensaje falso o bien comprometido solicitando la transferencia electrónica.

En este escenario, la compañía A se ve perjudicada por el hecho de que ha hecho la entrega frecuente a la empresa B pero no ha recibido el pago. La compañía B también se ve perjudicada pues ha emitido el pago destinado a la empresa A pero ahora en las arcas del criminal. Por norma general, la compañía A demandará un pago lícito a la compañía B, o le exigirá que devuelva la mercancía. ¿A dónde ir desde acá?

Recobrar los activos de un ataque cibernético del criminal

Tras un ataque de la BEC, es posible que las empresas víctimas recobren los activos perdidos. El IC3 del FBI informó que en dos mil diecinueve, su Equipo de Activos de Restauración fue capaz de recobrar aproximadamente el 79 por ciento de las pérdidas potenciales por las reclamaciones que fueron remitidas al Equipo de Activos de Restauración, por un total de trescientos cuatro con nueve millones de dólares. No obstante, para tener alguna esperanza de obtener la recuperación del delincuente, una compañía víctima debe denunciar el fraude al FBI o bien a otras fuerzas del orden, y hay múltiples razones por las que una empresa podría ser reluctante a hacerlo. Según el Departamento de Justicia, a partir de dos mil dieciseis, solo el quince por cien de las víctimas de fraude empresarial en todo el país denuncian el delito.

¿Por qué las compañías son tan cautelosas? Primeramente, una compañía puede estimar la persecución de un ciberdelincuente como una pérdida de tiempo y de recursos, singularmente cuando se determina que el hacker está operando en el extranjero. En verdad, debido a que tantos ciberdelincuentes ejercen su actividad fuera de los U.S.A., con frecuencia es exageradamente bastante difícil hacerles rendir cuentas.

Seguidamente, la detención del autor puede no ser la mayor prioridad de la compañía. En cambio, se va a centrar en apuntalar los controles internos para garantizar que no sea de nuevo víctima, como en cumplir sus obligaciones legales de notificar a los reguladores y a las partes perjudicadas. Podría preocuparle la publicidad negativa o bien el daño a su reputación. Es probable que estas preocupaciones sean exageradas, mas podrían llevar a una compañía a intentar solucionar las polémicas conexas con sus asociados de manera informal o en los tribunales civiles.

Restauración de activos del asociado comercial

Cuando una compañía no puede recobrar el dinero robado por un ciberdelincuente, puede decidir buscar la restauración del socio comercial. Cuando semejantes disputas no pueden ser resueltas informalmente, conducen a litigios, centrándose exactamente en qué parte fue más negligente en la habilitación del esquema: ¿Fue la empresa A, cuyo sistema de e-mail fue en un inicio pirateado, o la empresa B, que mandó el pago a una cuenta fraudulenta?

En los últimos tiempos se han visto un puñado de resoluciones judiciales que implican a víctimas del esquema BEC que se han demandado entre sí. ¿Qué compañía debería asumir el riesgo de pérdida? Hasta el momento los tribunales han adoptado un enfoque similar para estos casos.

El primer caso relevante fue una disputa de dos mil quince, Arrow Truck Sales contra Top Quality Truck & Equipment, Inc., en la que una compañía, Top Quality, negoció la venta de un grupo de camiones a la otra por 570.000 dólares estadounidenses. Tanto el sistema de e-mail del vendedor como el del comprador fueron pirateados por estafadores externos que mandaron instrucciones "actualizadas" de cableado al comprador, Arrow Truck, que las creyó reales; los delincuentes se salieron con la abogado muy economico suya por el precio total de adquiere de quinientos setenta dólares.

El tribunal de distrito apuntó que no había jurisprudencia aplicable sobre la cuestión de qué parte soportaba la pérdida derivada del fraude de un tercero que provocaba el incumplimiento del contrato. En su sitio, tomó como guía el Código Comercial Uniforme, que establece, bajo la "regla del impostor", que la parte que padece la pérdida es la que está en mejor posición para prevenir una falsificación ejercitando un cuidado razonable. Después de un juicio de prueba, el tribunal determinó, sobre la base de esos razonamientos, que el comprador de los camiones http://unaabogadavicalvaroya.simplesite.com/448124818 debía aceptar la pérdida. "Las instrucciones [del cable] implicaban una información completamente diferente de todas y cada una de las instrucciones anteriores", observó el tribunal. "En resumen, [Arrow Truck] debió haber ejercido un cuidado razonable tras recibir correos contradictorios que contenían instrucciones de cable contradictorias, llamando a [Top Quality] para confirmar o verificar las instrucciones de cable adecuadas ya antes de mandar los quinientos setenta dólares. Como tal, Arrow debería sufrir la pérdida asociada con el fraude."

En un caso de 2016, Bile contra RREMC, un abogado llamado Uduak Ubom fue hackeado en su correo electrónico. Ubom representó a Amangoua Bile, un usuario que terminaba de llegar a un acuerdo de sesenta y tres dólares con su antiguo empleador en una demanda por discriminación en el empleo. El estafador utilizó el correo electrónico de Ubom para mandar instrucciones de cableado actualizadas al despacho de abogados que representaba al empleador. Cuando el bufete prosiguió esas instrucciones, el delincuente hurtó el dinero. Bile y su viejo empleador,