El placer de los estafadores

Los ciberdelincuentes rara vez descansan, siempre y en toda circunstancia buscando vulnerabilidades para explotar, y ahora están apuntando cada vez más a las transacciones comerciales privadas en lo que es conocido como un ataque de compromiso de e-mail empresarial (BEC). En tal violación, un ciberdelincuente se infiltra en el sistema de correo electrónico de una empresa y se hace pasar por el dueño de una esencial cuenta de correo electrónico de la empresa. Fingiendo ser un ejecutivo específico, el ladrón manda un mail a otra empresa con la que el primero tiene una relación continua, mandando instrucciones de envío de dinero legítimamente adeudado a una cuenta corriente establecida y controlada por los autores del plan.

El destinatario del e-mail, pensando que el mensaje es auténtico, transfiere el pago a la cuenta del delincuente. Para cuando los dos negocios se dan cuenta de que han sido engañados, es ya demasiado tarde, y el dinero que el segundo envió al primero ya ha desaparecido.

¿Qué ocurre después de algo como esto? ¿Puede una compañía victimizada recobrar los fondos robados? ¿Puede esperar recobrarse del propio criminal? Si no se puede hallar al autor, ¿puede la compañía defraudada recobrar el dinero del que ha pirateado sus sistemas?

El hackeo de empresas es buen negocio

Conforme el Centro de Denuncias de Delitos en abogado penalista con experiencia Internet del FBI (conocido como "IC3"), los ciberataques del BEC contra empresas estadounidenses han ocasionado más de 8.200 millones de dólares en pérdidas desde dos mil trece, con mil setecientos millones de dólares americanos adicionales en pérdidas ajustadas sólo en 2019, las mayores pérdidas de bolsillo estimadas de cualquier clase de delito cibernético en ese periodo. El IC3 también estima que las pérdidas mundiales han superado los 26.000 millones de dólares estadounidenses en los últimos 3 años. Dado que muchos de estos delitos no se denuncian, la cantidad real es seguramente considerablemente más alta.

Los ataques del BEC se generan cada vez más en las transacciones comerciales privadas pues los delincuentes, sencillamente, ven la vulnerabilidad. Las empresas participan en intercambios regulares en los que el comprador adquiere una cantidad determinada de recursos a un vendedor y, con el tiempo, los ejecutivos establecen relaciones con sus homólogos. La naturaleza de este intercambio amistoso por norma general produce un grado de confianza del que los ciberdelincuentes se aprovechan con entusiasmo.

En un escenario habitual, un ataque BEC se origina con el delincuente apuntando a un ejecutivo de una empresa determinada. Digamos que la empresa A provee piezas de vehículos a la compañía B en un horario establecido, para lo que esta última le trasfiere el pago. Sabiendo esto, el criminal se infiltrará en el sistema de e mail de la Compañía A, de manera frecuente mediante un esquema de "phishing", enviando un e mail falso o bien un link web. En el momento en que se hace clic en él, la cuenta objetivo se ve comprometida. El criminal puede entonces monitorear los mensajes y la actividad de la cuenta, familiarizándose con la manera en que el ejecutivo de la compañía A emplea el correo electrónico y de qué forma exactamente se producen las transacciones con la compañía B. Al advertir una buena oportunidad, el delincuente manda un mensaje falso o comprometido solicitando la trasferencia electrónica.

En este escenario, la compañía A se ve perjudicada por el hecho de que ha hecho la entrega frecuente a la empresa B pero no ha recibido el pago. La compañía B también se ve perjudicada pues ha emitido el pago destinado a la empresa A pero ahora en las arcas del delincuente. Normalmente, la compañía A demandará un pago legítimo a la compañía B, o bien le demandará que devuelva la mercadería. ¿A dónde ir desde acá?

Recobrar los activos de un ataque cibernético del delincuente

Tras un ataque de la BEC, es posible que las compañías víctimas recuperen los activos perdidos. El IC3 del FBI notificó que en 2019, su Equipo de Activos de Recuperación fue capaz de recobrar más o menos el setenta y nueve por ciento de las pérdidas potenciales por las reclamaciones que fueron remitidas al Equipo de Activos de Restauración, por un total de trescientos cuatro con nueve millones de dólares estadounidenses. No obstante, para tener alguna esperanza de obtener la recuperación del criminal, una compañía víctima debe denunciar el fraude al FBI o bien a otras fuerzas del orden, y hay varias razones por las que una empresa podría ser reluctante a hacerlo. Según el Departamento de Justicia, desde dos mil dieciseis, sólo el 15 por ciento de las víctimas de fraude empresarial en todo el país denuncian el delito.

¿Por qué las compañías son tan precavidas? En primer lugar, una empresa puede considerar la persecución de un ciberdelincuente como una pérdida de tiempo y de recursos, especialmente cuando se determina que el pirata informático está operando en el extranjero. De hecho, debido a que tantos ciberdelincuentes ejercen su actividad fuera de los U.S.A., de forma frecuente es exageradamente difícil hacerles rendir cuentas.

En segundo lugar, la detención del autor puede no ser la mayor prioridad de la compañía. En cambio, se centrará en reforzar los controles internos para garantizar que no sea de nuevo víctima, así como en cumplir sus obligaciones legales de avisar a los reguladores y a las partes afectadas. Podría preocuparle la publicidad negativa o bien el daño a su reputación. Es probable que estas preocupaciones sean exageradas, mas podrían llevar a una empresa a tratar de resolver las polémicas conexas con sus socios de manera informal o en los tribunales civiles.

Restauración de activos del socio comercial

Cuando una compañía no puede recuperar el dinero robado https://j7jlrrh741.doodlekit.com/blog/entry/12706384/una-charla-con-abogados-penalistas-malaga-sobre-lo-que-sufren-los-nios-en-las-separaciones-de-los-padres por un ciberdelincuente, puede decidir buscar la restauración del asociado comercial. Cuando semejantes disputas no pueden ser resueltas informalmente, conducen a litigios, centrándose en qué parte fue más negligente en la habilitación del esquema: ¿Fue la compañía A, cuyo sistema de mail fue en un inicio pirateado, o bien la empresa B, que mandó el pago a una cuenta fraudulenta?

En los últimos años se han visto un puñado de resoluciones judiciales que involucran a víctimas del esquema BEC que se han demandado entre sí. ¿Qué compañía debería asumir el peligro de pérdida? Hasta ahora los tribunales han adoptado un enfoque afín para estos casos.

El primer caso relevante fue una disputa de dos mil quince, Arrow Truck Sales contra Top Quality Truck & Equipment, Inc., en la que una compañía, Top Quality, negoció la venta de un grupo de camiones a la otra por 570.000 dólares americanos. Tanto el sistema de correo del vendedor como el del comprador fueron pirateados por estafadores externos que enviaron instrucciones "actualizadas" de cableado al comprador, Arrow Truck, que las creyó reales; los criminales se salieron con la suya por el coste total de adquiere de quinientos setenta dólares americanos.

El tribunal de distrito señaló que no había jurisprudencia aplicable sobre la cuestión de qué parte soportaba la pérdida derivada del fraude de un tercero que provocaba el incumplimiento del contrato. En su lugar, tomó como guía el Código Comercial Uniforme, que establece, bajo la "regla del impostor", que la parte que padece la pérdida es la que está en mejor posición para prevenir una falsificación ejercitando un cuidado razonable. Tras un juicio de prueba, el tribunal determinó, sobre la base de esos razonamientos, que el comprador de los camiones debía aceptar la pérdida. "Las instrucciones [del cable] implicaban una información totalmente diferente de todas y cada una de las instrucciones precedentes", observó el tribunal. "En pocas palabras, [Arrow Truck] debió haber ejercido un cuidado razonable tras recibir correos electrónicos contradictorios que contenían instrucciones de cable contradictorias, llamando a [Top Quality] para confirmar o verificar las instrucciones de cable correctas antes de mandar los 570.000 dólares. Como tal, Arrow debería sufrir la pérdida asociada con el fraude."

En un caso de dos mil dieciseis, Bile contra RREMC, un abogado llamado Uduak Ubom fue hackeado en su correo. Ubom representó a Amangoua Bile, un cliente que acababa de llegar a un acuerdo de 63.000 dólares con su antiguo empleador en una demanda por discriminación en el empleo. El estafador utilizó el e mail de Ubom para enviar instrucciones de cableado actualizadas al despacho de abogados que representaba al empleador. Cuando el bufete siguió esas instrucciones, el criminal birló el dinero. Bile y su viejo