El placer de los estafadores

Los ciberdelincuentes raras veces descansan, siempre y en todo momento buscando vulnerabilidades para explotar, y ahora están apuntando cada vez más a las transacciones comerciales privadas en lo que se conoce como un ataque de compromiso de e mail empresarial (BEC). En tal violación, un ciberdelincuente se infiltra en el sistema de correo de una compañía y se hace pasar por el propietario de una importante cuenta de e-mail de la empresa. Fingiendo ser un ejecutivo concreto, el ladrón envía un e mail a otra empresa con la que el primero tiene una relación continua, enviando instrucciones de envío de dinero legítimamente adeudado a una cuenta bancaria establecida y controlada por los autores del plan.

El destinatario del e mail, creyendo que el mensaje es genuino, transfiere el pago a la cuenta del delincuente. Para cuando los 2 negocios se dan cuenta de que han sido engañados, ya es demasiado tarde, y el dinero que el segundo mandó al primero ya ha desaparecido.

¿Qué ocurre después de algo como esto? ¿Puede una empresa victimizada recuperar los fondos robados? ¿Puede esperar recobrarse del propio delincuente? Si no se puede hallar al autor, ¿puede la empresa defraudada recuperar el dinero del que ha pirateado sus sistemas?

El hackeo de empresas es buen negocio

Según el Centro de Demandas de Delitos en Internet del FBI (conocido como "IC3"), los ciberataques del BEC contra empresas estadounidenses han ocasionado más de 8.200 millones de dólares estadounidenses en pérdidas desde dos mil trece, con mil setecientos millones de dólares auxiliares en pérdidas ajustadas sólo en 2019, las mayores pérdidas de bolsillo estimadas de cualquier tipo de delito cibernético en ese período. El IC3 asimismo estima que las pérdidas mundiales han superado los veintiseis millones de dólares americanos en los últimos tres años. Dado que muchos de estos delitos no se denuncian, la cifra real es seguramente mucho más alta.

Los ataques del BEC se producen cada vez más en las transacciones comerciales privadas pues los criminales, sencillamente, ven la vulnerabilidad. Las compañías participan en intercambios regulares en los que el comprador compra una cantidad determinada de recursos a un vendedor y, con el tiempo, los ejecutivos establecen relaciones con sus homólogos. La naturaleza de este intercambio amistoso en general produce un grado de confianza del que los ciberdelincuentes se aprovechan con entusiasmo.

En un escenario típico, un ataque BEC se produce con el delincuente apuntando a un ejecutivo de una empresa determinada. Digamos que la compañía A suministra piezas de vehículos a la compañía B en un horario establecido, para lo que esta última le transfiere el pago. Sabiendo esto, el delincuente se infiltrará en el sistema de correo de la Compañía A, frecuentemente mediante un esquema de "phishing", mandando un mail falso o https://www.openlearning.com/u/january-qm9hzg/blog/LaGlobalizacionYLosAbogadosPenalistasAbogadoMuyBaratoLesIndicanAcercaDeElNuevoParadigma/ un enlace web. Cuando se hace clic en él, la cuenta objetivo se ve comprometida. El criminal puede entonces monitorear los mensajes y la actividad de la cuenta, familiarizándose con la forma en que el ejecutivo de la compañía A utiliza el e mail y de qué forma precisamente se generan las transacciones con la compañía B. Al detectar una buena ocasión, el delincuente envía un mensaje falso o bien comprometido solicitando la trasferencia electrónica.

En este escenario, la empresa A se ve perjudicada por el hecho de que ha hecho la entrega frecuente a la compañía B pero no ha recibido el pago. La compañía B también se ve perjudicada por el hecho de que ha emitido el pago destinado a la compañía A pero ahora en las arcas del delincuente. Generalmente, la compañía A exigirá un pago legítimo a la compañía B, o bien le demandará que devuelva la mercancía. ¿A dónde ir desde aquí?

Recobrar los activos de un ataque cibernético del delincuente

Tras un ataque de la BEC, es posible que las compañías víctimas recuperen los activos perdidos. El IC3 del FBI notificó que en 2019, su Equipo de Activos de Recuperación fue capaz de recuperar aproximadamente el 79 por ciento de las pérdidas potenciales por las reclamaciones que fueron remitidas al Equipo de Activos de Restauración, por un total de 304,9 millones de dólares. No obstante, para tener alguna esperanza de conseguir la restauración del criminal, una compañía víctima debe denunciar el fraude al FBI o bien a otras fuerzas del orden, y hay varias razones por las que una compañía podría ser reacia a hacerlo. Conforme el Departamento de Justicia, desde 2016, sólo el 15 por cien de las víctimas de fraude empresarial en todo el país denuncian el delito.

¿Por qué las empresas son tan cautelosas? En primer lugar, una empresa puede considerar la persecución de un ciberdelincuente como una pérdida de tiempo y de recursos, en especial cuando se determina que el pirata informático está operando en el extranjero. De hecho, debido a que tantos ciberdelincuentes ejercitan su actividad fuera de los E.U., de manera frecuente es extremadamente difícil hacerles rendir cuentas.

En segundo lugar, la detención del autor puede no ser la mayor prioridad de la empresa. En cambio, se centrará en reforzar los controles internos para asegurar que no sea de nuevo víctima, así como en cumplir sus obligaciones legales de avisar a los reguladores y a las partes afectadas. Podría preocuparle la publicidad negativa o bien el daño a su reputación. Es probable que estas preocupaciones sean exageradas, pero podrían llevar a una empresa a tratar de resolver las controversias conexas con sus asociados de forma informal o bien en los tribunales civiles.

Restauración de activos del asociado comercial

Cuando una empresa no puede recuperar el dinero robado por un ciberdelincuente, puede decidir buscar la restauración del asociado comercial. Cuando semejantes disputas no pueden ser resueltas informalmente, conducen a litigios, centrándose en qué parte fue más negligente en la habilitación del esquema: ¿Fue la compañía A, cuyo sistema de e mail fue inicialmente pirateado, o la empresa B, que envió el pago a una cuenta fraudulenta?

En los últimos tiempos se han visto un puñado de decisiones judiciales que implican a víctimas del esquema BEC que se han demandado entre sí. ¿Qué compañía debería asumir el peligro de pérdida? Hasta el momento los tribunales han adoptado un enfoque afín para estos casos.

El primer caso relevante fue una disputa de dos mil quince, Arrow Truck Sales contra Top Quality Truck & Equipment, Inc., en la que una empresa, Top Quality, negoció la venta de un conjunto de camiones a la otra por 570.000 dólares. Tanto el sistema de mail del vendedor como el del comprador fueron pirateados por estafadores externos que enviaron instrucciones "actualizadas" de cableado al comprador, Arrow Truck, que las creyó reales; los delincuentes se salieron con la suya por el precio total de compra de 570.000 dólares estadounidenses.

El tribunal de distrito apuntó que no había jurisprudencia aplicable sobre la cuestión de qué parte soportaba la pérdida derivada del fraude de un tercero que provocaba el incumplimiento del contrato. En su lugar, tomó como guía el Código Comercial Uniforme, que establece, bajo la "regla del farsante", que la parte que padece la pérdida es la que está en mejor posición para prevenir una falsificación ejerciendo un cuidado razonable. Después de un juicio de prueba, el tribunal determinó, sobre la base de esos razonamientos, que el comprador de los camiones debía asumir la pérdida. "Las instrucciones [del cable] implicaban una información completamente diferente de todas las instrucciones anteriores", observó el tribunal. "En resumen, [Arrow Truck] debió haber ejercido un cuidado razonable tras percibir e mails contradictorios que contenían instrucciones de cable contradictorias, llamando a [Top Quality] para confirmar o verificar las instrucciones de cable correctas antes de mandar los 570.000 dólares. Como tal, Arrow debería sufrir la pérdida asociada con el fraude."

En un caso de dos mil dieciseis, Bile contra RREMC, un abogado llamado Uduak Ubom fue hackeado en su e mail. Ubom representó a Amangoua Bile, un cliente que acababa de llegar a un acuerdo de sesenta y tres dólares con su antiguo empleador en una demanda por discriminación en el uso. El estafador usó el mail de Ubom para enviar instrucciones de cableado actualizadas al bufete que representaba al empleador. Cuando el bufete siguió esas instrucciones, el criminal hurtó el dinero. Bile y su viejo empleador, RREMC, presentaron mociones para hacer cumplir el pacto. El tribunal festejó una audiencia probatoria y determinó que Ubom no había observado el cuidado ordinario, lo que contribuyó