El placer de los estafadores

Los ciberdelincuentes pocas veces descansan, siempre y en toda circunstancia buscando vulnerabilidades para explotar, y abogado con mucha experiencia ahora apuntan cada vez más a las transacciones comerciales privadas en lo que se conoce como un ataque de compromiso de correo empresarial (BEC). En tal violación, un ciberdelincuente se infiltra en el sistema de e mail de una empresa y se hace pasar por el dueño de una importante cuenta de correo de la compañía. Fingiendo ser un ejecutivo concreto, el ladrón manda un correo electrónico a otra empresa con la que el primero tiene una relación continua, enviando instrucciones de envío de dinero legítimamente adeudado a una cuenta corriente establecida y controlada por los autores del plan.

El receptor del correo electrónico, pensando que el mensaje es genuino, transfiere el pago a la cuenta del delincuente. Para cuando los 2 negocios se dan cuenta de que han sido engañados, ya es demasiado tarde, y el dinero que el segundo mandó al primero ya ha desaparecido.

¿Qué sucede tras algo como esto? ¿Puede una compañía victimizada recobrar los fondos robados? ¿Puede aguardar recuperarse del propio delincuente? Si no se puede hallar al autor, ¿puede la empresa defraudada recuperar el dinero del que ha pirateado sus sistemas?

El hackeo de empresas es un buen negocio

Conforme el Centro de Demandas de Delitos en Internet del FBI (conocido como "IC3"), los ciberataques del BEC contra empresas estadounidenses han causado más de 8.200 millones de dólares americanos en pérdidas desde 2013, con 1.700 millones de dólares americanos auxiliares en pérdidas ajustadas sólo en 2019, las mayores pérdidas de bolsillo estimadas de cualquier clase de delito cibernético en ese periodo. El IC3 también estima que las pérdidas mundiales han superado los 26.000 millones de dólares en los últimos 3 años. Puesto que muchos de estos delitos no se denuncian, la cantidad real es probablemente mucho más alta.

Los ataques del BEC se generan cada vez más en las transacciones comerciales privadas pues los delincuentes, sencillamente, ven la vulnerabilidad. Las empresas participan en intercambios regulares en los que el comprador adquiere una cantidad determinada de recursos a un vendedor y, con el tiempo, los ejecutivos establecen relaciones con sus análogos. La naturaleza de este intercambio amistoso normalmente genera un grado de confianza del que los ciberdelincuentes se aprovechan con entusiasmo.

En un escenario habitual, un ataque BEC se produce con el delincuente apuntando a un ejecutivo de una empresa determinada. Digamos que la compañía A provee piezas de vehículos a la empresa B en un horario establecido, para lo que esta última le transfiere el pago. Sabiendo esto, el delincuente se infiltrará en el sistema de e-mail de la Compañía A, con frecuencia por medio de un esquema de "phishing", enviando un mail falso o un link web. Una vez que se hace clic en él, la cuenta objetivo se ve comprometida. El criminal puede entonces monitorear los mensajes y la actividad de la cuenta, familiarizándose con la forma en que el ejecutivo de la compañía A utiliza el correo electrónico y de qué manera precisamente se generan las transacciones con la compañía B. Al detectar una buena ocasión, el delincuente envía un mensaje falso o comprometido solicitando la transferencia electrónica.

En este escenario, la compañía A se ve perjudicada porque ha hecho la entrega frecuente a la compañía B mas no ha recibido el pago. La compañía B asimismo se ve perjudicada porque ha emitido el pago destinado a la compañía A pero ahora en las arcas del criminal. Por norma general, la compañía A exigirá un pago lícito a la compañía B, o le exigirá que devuelva la mercadería. ¿A dónde ir desde acá?

Recobrar los activos de un ataque cibernético del delincuente

Tras un ataque de la BEC, posiblemente las compañías víctimas recuperen los activos perdidos. El IC3 del FBI notificó que en 2019, su Equipo de Activos de Restauración fue capaz de recobrar más o menos el 79 por ciento de las pérdidas potenciales por las reclamaciones que fueron remitidas al Equipo de Activos de Restauración, por un total de trescientos cuatro con nueve millones de dólares americanos. Sin embargo, para tener alguna esperanza de obtener la restauración del criminal, una compañía víctima debe denunciar el fraude al FBI o a otras fuerzas del orden, y hay varias razones por las que una empresa podría ser reacia a hacerlo. Según el Departamento de Justicia, a partir de dos mil dieciseis, solo el 15 por ciento de las víctimas de fraude empresarial en todo el país denuncian el delito.

¿Por qué las compañías son tan cautelosas? Primeramente, una empresa puede considerar la prosecución de un ciberdelincuente como una pérdida de tiempo y de recursos, en especial cuando se determina que el pirata informático está operando en el extranjero. En verdad, debido a que tantos ciberdelincuentes ejercitan su actividad fuera de los E.U., de forma frecuente es extremadamente bastante difícil hacerles rendir cuentas.

Seguidamente, la detención del autor puede no ser la mayor prioridad de la compañía. En cambio, se centrará en apuntalar los controles internos para garantizar que no vuelva a ser víctima, como en cumplir sus obligaciones legales de notificar a http://unaabogadacarabanchel24h.wpsuo.com/una-tarde-de-charla-con-abogados-penalistas-con-experiencia-sobre-lo-mal-que-lo-pasan-los-ninos-en-las-separaciones los reguladores y a las partes afectadas. Podría preocuparle la publicidad negativa o bien el daño a su reputación. Es probable que estas preocupaciones sean exageradas, mas podrían llevar a una empresa a intentar resolver las polémicas conexas con sus socios de manera informal o bien en los tribunales civiles.

Restauración de activos del socio comercial

Cuando una empresa no puede recuperar el dinero robado por un ciberdelincuente, puede decidir buscar la restauración del socio comercial. Cuando semejantes disputas no pueden ser resueltas informalmente, conducen a pleitos, centrándose en qué parte fue más negligente en la habilitación del esquema: ¿Fue la empresa A, cuyo sistema de e mail fue en un inicio pirateado, o bien la empresa B, que envió el pago a una cuenta fraudulenta?

En los últimos años se han visto un puñado de resoluciones judiciales que involucran a víctimas del esquema BEC que se han demandado entre sí. ¿Qué compañía debería asumir el riesgo de pérdida? Hasta el momento los tribunales han adoptado un enfoque afín para estos casos.

El primer caso relevante fue una disputa de 2015, Arrow Truck Sales contra Top Quality Truck & Equipment, Inc., en la que una compañía, Top Quality, negoció la venta de un grupo de camiones a la otra por quinientos setenta dólares americanos. Tanto el sistema de e-mail del vendedor como el del comprador fueron pirateados por estafadores externos que mandaron instrucciones "actualizadas" de cableado al comprador, Arrow Truck, que las creyó reales; los delincuentes se salieron con la suya por el costo total de adquiere de 570.000 dólares estadounidenses.

El tribunal de distrito apuntó que no había jurisprudencia aplicable sobre la cuestión de qué parte aguantaba la pérdida derivada del fraude de un tercero que provocaba el incumplimiento del contrato. En su lugar, tomó como guía el Código Comercial Uniforme, que establece, bajo la "regla del impostor", que la parte que padece la pérdida es la que está en mejor situación para prevenir una falsificación ejerciendo un cuidado razonable. Tras un juicio de prueba, el tribunal determinó, sobre la base de esos razonamientos, que el comprador de los camiones debía asumir la pérdida. "Las instrucciones [del cable] implicaban una información totalmente diferente de todas y cada una de las instrucciones precedentes", observó el tribunal. "En resumen, [Arrow Truck] debió haber ejercido un cuidado razonable tras recibir e mails contradictorios que contenían instrucciones de cable contradictorias, llamando a [Top Quality] para confirmar o bien contrastar las instrucciones de cable adecuadas antes de mandar los 570.000 dólares americanos. Como tal, Arrow debería sufrir la pérdida asociada con el fraude."

En un caso de 2016, Bile contra RREMC, un letrado llamado Uduak Ubom fue hackeado en su correo. Ubom representó a Amangoua Bile, un cliente del servicio que terminaba de llegar a un acuerdo de 63.000 dólares americanos con su viejo empleador en una demanda por discriminación en la utilización. El estafador empleó el e mail de Ubom para enviar instrucciones de cableado actualizadas al bufete que representaba al empleador. Cuando el bufete prosiguió esas instrucciones, el delincuente robó el dinero. Bile y su viejo empleador, RREMC, presentaron peticiones para hacer cumplir el acuerdo. El tribunal celebró una audiencia probatoria y determinó