El placer de los estafadores

Los ciberdelincuentes pocas veces descansan, siempre y en toda circunstancia buscando vulnerabilidades para explotar, y ahora apuntan poco a poco más a las transacciones comerciales privadas en lo que es conocido como un ataque de compromiso de correo empresarial (BEC). En tal violación, un ciberdelincuente se infiltra en el sistema de e mail de una empresa y se hace pasar por el dueño de una esencial cuenta de e-mail de la compañía. Fingiendo ser un ejecutivo específico, el ladrón manda un e-mail a otra empresa con la que el primero tiene una relación continua, mandando instrucciones de envío de dinero legítimamente adeudado a una cuenta corriente establecida y controlada por los autores del plan.

El destinatario del correo electrónico, creyendo que el mensaje es genuino, trasfiere el pago a la cuenta del delincuente. Para cuando los dos negocios se percatan de que han sido engañados, es ya demasiado tarde, y el dinero que el segundo mandó al primero ya ha desaparecido.

¿Qué ocurre tras algo como esto? ¿Puede una compañía victimizada recobrar los fondos robados? ¿Puede esperar recuperarse del propio delincuente? Si no se puede encontrar al autor, ¿puede la empresa defraudada recuperar el dinero del que ha pirateado sus sistemas?

El hackeo de empresas es un buen negocio

Según el Centro de Demandas de Delitos en Internet del FBI (conocido como "IC3"), los ciberataques del BEC contra empresas estadounidenses han ocasionado más de ocho mil doscientos millones de dólares americanos en pérdidas desde 2013, con mil setecientos millones de dólares adicionales en pérdidas ajustadas sólo en dos mil diecinueve, las mayores pérdidas de bolsillo estimadas de cualquier tipo de delito cibernético en ese periodo. El IC3 también estima que las pérdidas mundiales han superado los 26.000 millones de dólares en los últimos 3 años. Dado que muchos de estos delitos no se denuncian, la cantidad real es seguramente considerablemente más alta.

Los ataques del BEC se generan poco a poco más en las transacciones comerciales privadas por el hecho de que los criminales, sencillamente, ven la vulnerabilidad. Las empresas participan en intercambios regulares en los que el comprador compra una cantidad determinada de recursos a un vendedor y, con el tiempo, los ejecutivos establecen relaciones con sus homólogos. La naturaleza de este intercambio amistoso en general genera un grado de confianza del que los ciberdelincuentes se aprovechan con entusiasmo.

En un escenario típico, un ataque BEC se origina con el criminal apuntando a un ejecutivo de una empresa determinada. Afirmemos que la compañía A suministra piezas de vehículos a la empresa B en un horario establecido, para lo que esta última le transfiere el pago. Sabiendo esto, el criminal se infiltrará en el sistema de e-mail de la Compañía A, a menudo por medio de un esquema de "phishing", enviando un e mail falso o bien un link web. Una vez que se hace click en él, la cuenta objetivo se ve comprometida. El delincuente puede entonces monitorear los mensajes y la actividad de la cuenta, familiarizándose con la manera en que el ejecutivo de la compañía A usa el e mail y de qué manera exactamente se generan las transacciones con la compañía B. Al detectar una buena ocasión, el delincuente envía un mensaje falso o bien comprometido solicitando la trasferencia electrónica.

En este escenario, la compañía A se ve perjudicada por el hecho de que ha hecho la entrega habitual a la compañía B mas no ha recibido el pago. La compañía B asimismo se ve perjudicada pues ha emitido el pago destinado a la compañía A pero ahora en las arcas del delincuente. Generalmente, la compañía A demandará un pago lícito a la compañía B, o le demandará que devuelva la mercancía. ¿A dónde ir desde acá?

Recobrar los activos de un ataque cibernético del criminal

Tras un ataque de la BEC, es posible que las empresas víctimas recobren los activos perdidos. El IC3 del FBI notificó que en dos mil diecinueve, su Equipo de Activos de Recuperación fue capaz de recobrar más o menos el setenta y nueve por ciento de las pérdidas potenciales por las reclamaciones que fueron remitidas al Equipo de Activos de Restauración, por un total de trescientos cuatro con nueve millones de dólares americanos. No obstante, para tener alguna esperanza de conseguir la restauración del delincuente, una empresa víctima debe denunciar el fraude al FBI o a otras fuerzas del orden, y hay varias razones por las que una compañía podría ser reacia a hacerlo. Conforme el Departamento de Justicia, a partir de dos mil dieciseis, solo el 15 por cien de las víctimas de fraude empresarial en todo el país denuncian el delito.

¿Por qué razón las empresas son tan cautelosas? En primer lugar, una compañía puede considerar la persecución de un ciberdelincuente como una pérdida de tiempo y de recursos, en especial cuando se determina que el hacker está operando en el extranjero. En verdad, debido a que tantos ciberdelincuentes ejercitan su actividad fuera de los Estados Unidos, con frecuencia es extremadamente difícil hacerles rendir cuentas.

En segundo lugar, la detención del autor puede no ser la mayor prioridad de la compañía. En cambio, se centrará en apuntalar los controles internos para asegurar que no vuelva a ser víctima, como en cumplir sus obligaciones legales de avisar a los reguladores y a las partes perjudicadas. Podría preocuparle la publicidad negativa o el daño a su reputación. Es probable que estas preocupaciones sean exageradas, pero podrían llevar a una empresa a tratar de resolver las controversias conexas con sus asociados de manera informal o bien en los tribunales civiles.

Recuperación de activos del socio comercial

Cuando una empresa no puede recuperar el dinero robado por un ciberdelincuente, puede decidir buscar la recuperación del socio comercial. Cuando tales disputas no pueden ser resueltas informalmente, conducen a litigios, centrándose exactamente en qué parte fue más negligente en la habilitación del esquema: ¿Fue la empresa A, http://abogadachamberideguardia.jigsy.com/entries/general/globalizaci%C3%B3n-y-abogados-penalistas-abogado-penalista-con-experiencia-muestran-sobre-su-nuevo-paradigma cuyo sistema de e-mail fue inicialmente pirateado, o bien la empresa B, que envió el pago a una cuenta fraudulenta?

En los últimos tiempos se han visto un puñado de decisiones judiciales que implican a víctimas del esquema BEC que se han demandado entre sí. ¿Qué compañía debería aceptar el peligro de pérdida? Hasta ahora los tribunales han adoptado un enfoque afín para estos casos.

El primer caso relevante fue una disputa de dos mil quince, Arrow Truck Sales contra Top Quality Truck & Equipment, Inc., en la que una compañía, Top Quality, negoció la venta de un grupo de camiones a la otra por 570.000 dólares. Tanto el sistema de correo del vendedor como el del comprador fueron pirateados por estafadores externos que enviaron instrucciones "actualizadas" de cableado al comprador, Arrow Truck, que las creyó reales; los criminales se salieron con la suya por el costo total de adquiere de 570.000 dólares estadounidenses.

El tribunal de distrito señaló que no había jurisprudencia aplicable sobre la cuestión de qué parte aguantaba la pérdida derivada del fraude de un tercero que provocaba el incumplimiento del contrato. En su sitio, tomó como guía el Código Comercial Uniforme, que establece, bajo la "regla del farsante", que la parte que sufre la pérdida es la que está en mejor posición para prevenir una falsificación ejercitando un cuidado razonable. Después de un juicio de prueba, el tribunal determinó, sobre la base de esos argumentos, que el comprador de los camiones debía asumir la pérdida. "Las instrucciones [del cable] implicaban una información completamente diferente de todas y cada una de las instrucciones precedentes", observó el tribunal. "En resumen, [Arrow Truck] debió haber ejercido un cuidado razonable tras percibir correos electrónicos contradictorios que contenían instrucciones de cable contradictorias, llamando a [Top Quality] para confirmar o contrastar las instrucciones de cable correctas antes de enviar los quinientos setenta dólares estadounidenses. Como tal, Arrow debería sufrir la pérdida asociada con el fraude."

En un caso de dos mil dieciseis, Bile contra RREMC, un letrado llamado Uduak Ubom fue hackeado en su mail. Ubom representó a Amangoua Bile, un cliente del servicio que terminaba de llegar a un pacto de 63.000 dólares con su antiguo empleador en una demanda por discriminación en el empleo. El estafador usó el correo electrónico de Ubom para mandar instrucciones de cableado actualizadas al bufete que representaba al empleador. Cuando el bufete prosiguió esas instrucciones, el delincuente robó el dinero. Bile y su antiguo empleador, RREMC, presentaron mociones para hacer