El placer de los estafadores

Los ciberdelincuentes raras veces descansan, siempre buscando vulnerabilidades para explotar, y ahora están apuntando poco a poco más a las transacciones comerciales privadas en lo que es conocido como un ataque de compromiso de e-mail empresarial (BEC). En tal violación, un ciberdelincuente se infiltra en el sistema de e-mail de una empresa y se hace pasar por el dueño de una esencial cuenta de mail de la compañía. Fingiendo ser un ejecutivo específico, el ladrón manda un correo electrónico a otra empresa con la que el primero tiene una relación continua, mandando instrucciones de envío de dinero legítimamente adeudado a una cuenta bancaria establecida y controlada por los autores del plan.

El destinatario del mail, pensando que el mensaje es auténtico, transfiere el pago a la cuenta del criminal. Para cuando los dos negocios se percatan de que han sido engañados, es ya demasiado tarde, y el dinero que el segundo envió al primero ya ha desaparecido.

¿Qué sucede después de algo como esto? ¿Puede una compañía victimizada recobrar los fondos robados? ¿Puede esperar recuperarse del propio criminal? Si no se puede localizar al autor, ¿puede la compañía defraudada recuperar el dinero del que ha pirateado sus sistemas?

El hackeo de empresas es un buen negocio

Según el Centro de Demandas de Delitos en Internet del FBI (conocido como "IC3"), los ciberataques del BEC contra empresas estadounidenses han ocasionado más de ocho mil doscientos millones de dólares americanos en pérdidas desde 2013, con 1.700 millones de dólares estadounidenses adicionales en pérdidas ajustadas solo en 2019, las mayores pérdidas de bolsillo estimadas de cualquier tipo de delito cibernético en ese https://lasabogadasvallecas24.skyrock.com/3338606152-Abogados-Y-Globalizacion-Abogados-Penalistas-Malaga-Le-Indican-Acerca.html periodo. El IC3 asimismo estima que las pérdidas mundiales han superado los veintiseis millones de dólares americanos en los últimos 3 años. Dado que muchos de estos delitos no se denuncian, la cantidad real es probablemente mucho más alta.

Los ataques del BEC se generan cada vez más en las transacciones comerciales privadas pues los delincuentes, simplemente, ven la vulnerabilidad. Las empresas participan en intercambios regulares en los que el comprador compra una cantidad determinada de recursos a un vendedor y, con el tiempo, los ejecutivos establecen relaciones con sus análogos. La naturaleza de este intercambio amistoso generalmente genera un grado de confianza del que los ciberdelincuentes se aprovechan con entusiasmo.

En un escenario habitual, un ataque BEC se origina con el criminal apuntando a un ejecutivo de una compañía determinada. Digamos que la empresa A provee piezas de automóviles a la empresa B en un horario establecido, para lo cual esta última le trasfiere el pago. Sabiendo esto, el criminal se infiltrará en el sistema de e-mail de la Compañía A, frecuentemente por medio de un esquema de "phishing", mandando un mail falso o bien un link web. Cuando se hace clic en él, la cuenta objetivo se ve comprometida. El criminal puede entonces monitorear los mensajes y la actividad de la cuenta, familiarizándose con la forma en que el ejecutivo de la compañía A utiliza el mail y de qué forma precisamente se producen las transacciones con la compañía B. Al detectar una buena ocasión, el criminal envía un mensaje falso o bien comprometido solicitando la trasferencia electrónica.

En este escenario, la empresa A se ve perjudicada por el hecho de que ha hecho la entrega frecuente a la compañía B pero no ha recibido el pago. La empresa B también se ve perjudicada porque ha emitido el pago destinado a la empresa A mas ahora en las arcas del criminal. En general, la compañía A exigirá un pago lícito a la compañía B, o le demandará que devuelva la mercadería. ¿A dónde ir desde acá?

Recuperar los activos de un ataque cibernético del delincuente

Tras un ataque de la BEC, es posible que las empresas víctimas recuperen los activos perdidos. El IC3 del FBI notificó que en 2019, su Equipo de Activos de Recuperación fue capaz de recobrar más o menos el 79 por ciento de las pérdidas potenciales por las reclamaciones que fueron remitidas al Equipo de Activos de Recuperación, por un total de trescientos cuatro con nueve millones de dólares americanos. No obstante, para tener alguna esperanza de obtener la restauración del delincuente, una compañía víctima debe denunciar el fraude al FBI o bien a otras fuerzas del orden, y hay varias razones por las que una empresa podría ser reacia a hacerlo. Conforme el Departamento de Justicia, a partir de 2016, solo el 15 por ciento de las víctimas de fraude empresarial en todo el país denuncian el delito.

¿Por qué razón las compañías son tan cautas? En primer lugar, una empresa puede considerar la prosecución de un ciberdelincuente como una pérdida de tiempo y de recursos, en especial cuando se determina que el pirata informático está operando en el extranjero. En verdad, debido a que tantos ciberdelincuentes ejercitan su actividad fuera de los U.S.A., a menudo es exageradamente difícil hacerles rendir cuentas.

Seguidamente, la detención del autor puede no ser la mayor prioridad de la compañía. En cambio, se centrará en reforzar los controles internos para asegurar que no sea de nuevo víctima, como en cumplir sus obligaciones legales de avisar a los reguladores y a las partes perjudicadas. Podría preocuparle la publicidad negativa o bien el daño a su reputación. Probablemente estas preocupaciones sean exageradas, mas podrían llevar a una compañía a intentar resolver las polémicas conexas con sus socios de forma informal o bien en los tribunales civiles.

Restauración de activos del asociado comercial

Cuando una compañía no puede recuperar el dinero robado por un ciberdelincuente, puede decidir buscar la recuperación del socio comercial. Cuando semejantes disputas no pueden ser resueltas informalmente, conducen a pleitos, centrándose exactamente en qué parte fue más negligente en la habilitación del esquema: ¿Fue la compañía A, cuyo sistema de mail fue inicialmente pirateado, o la compañía B, que mandó el pago a una cuenta fraudulenta?

En los últimos tiempos se han visto un puñado de decisiones judiciales que implican a víctimas del esquema BEC que se han demandado entre sí. ¿Qué compañía debería aceptar el riesgo de pérdida? Hasta el momento los tribunales han adoptado un enfoque afín para estos casos.

El primer caso relevante fue una disputa de dos mil quince, Arrow Truck Sales contra Top Quality Truck & Equipment, Inc., en la que una empresa, Top Quality, negoció la venta de un grupo de camiones a la otra por quinientos setenta dólares americanos. Tanto el sistema de correo electrónico del vendedor como el del comprador fueron pirateados por estafadores externos que mandaron instrucciones "actualizadas" de cableado al comprador, Arrow Truck, que las creyó reales; los criminales se salieron con la suya por el costo total de adquiere de quinientos setenta dólares estadounidenses.

El tribunal de distrito apuntó que no había jurisprudencia aplicable sobre la cuestión de qué parte aguantaba la pérdida derivada del fraude de un tercero que provocaba el incumplimiento del contrato. En su lugar, tomó como guía el Código Comercial Uniforme, que establece, bajo la "regla del farsante", que la parte que padece la pérdida es la que está en mejor situación para prevenir una falsificación ejercitando un cuidado razonable. Tras un juicio de prueba, el tribunal determinó, sobre la base de esos argumentos, que el comprador de los camiones debía asumir la pérdida. "Las instrucciones [del cable] implicaban una información completamente diferente de todas y cada una de las instrucciones precedentes", observó el tribunal. "En resumen, [Arrow Truck] debió haber ejercido un cuidado razonable tras percibir correos electrónicos contradictorios que contenían instrucciones de cable contradictorias, llamando a [Top Quality] para confirmar o verificar las abogado con mucha experiencia instrucciones de cable adecuadas ya antes de mandar los 570.000 dólares americanos. Como tal, Arrow debería sufrir la pérdida asociada con el fraude."

En un caso de dos mil dieciseis, Bile contra RREMC, un letrado llamado Uduak Ubom fue hackeado en su e mail. Ubom representó a Amangoua Bile, un cliente que acababa de llegar a un pacto de sesenta y tres dólares con su antiguo empleador en una demanda por discriminación en el uso. El estafador usó el mail de Ubom para mandar instrucciones de cableado actualizadas al despacho de abogados que representaba al empleador. Cuando el bufete siguió esas instrucciones, el criminal robó el dinero. Bile y su viejo empleador, RREMC, presentaron peticiones para hacer cumplir el acuerdo. El tribunal celebró una audiencia