El placer de los estafadores

Los ciberdelincuentes rara vez descansan, siempre buscando vulnerabilidades para explotar, y ahora están apuntando cada vez más a las transacciones comerciales privadas en lo que es conocido como un ataque de compromiso de correo electrónico empresarial (BEC). En tal violación, un ciberdelincuente se infiltra en el sistema de e-mail de una empresa y se hace pasar por el propietario de una importante cuenta de correo electrónico de la compañía. Fingiendo ser un ejecutivo específico, el ladrón envía un e-mail a otra empresa con la que el primero tiene una relación continua, mandando instrucciones de envío de dinero legítimamente adeudado a una cuenta corriente establecida y controlada por los autores del plan.

El destinatario del correo, creyendo que el mensaje es genuino, transfiere el pago a la cuenta del criminal. Para cuando los 2 negocios se percatan de que han sido engañados, es ya demasiado tarde, y el dinero que el segundo mandó al primero ya ha desaparecido.

¿Qué pasa después de algo como esto? ¿Puede una empresa victimizada recobrar los fondos robados? ¿Puede aguardar recuperarse del propio delincuente? Si no se puede localizar al autor, ¿puede la compañía defraudada recobrar el dinero del que ha pirateado sus sistemas?

El hackeo de empresas es un buen negocio

Conforme el Centro de Denuncias de Delitos en Internet del FBI (conocido como "IC3"), los ciberataques del BEC contra empresas estadounidenses han causado más de 8.200 millones de dólares en pérdidas desde dos mil trece, con mil setecientos millones de dólares estadounidenses adicionales en pérdidas ajustadas solo en dos mil diecinueve, las mayores pérdidas de bolsillo estimadas de cualquier clase de delito cibernético en ese período. El IC3 abogado penalista con experiencia también estima que las pérdidas mundiales han superado los veintiseis millones de dólares americanos en los últimos 3 años. Puesto que muchos de estos delitos no se denuncian, la cifra real es probablemente mucho más alta.

Los ataques del BEC se producen cada vez más en las transacciones comerciales privadas porque los criminales, sencillamente, ven la vulnerabilidad. Las empresas participan en intercambios regulares en los que el comprador compra una cantidad determinada de bienes a un vendedor y, con el tiempo, los ejecutivos establecen relaciones con sus análogos. La naturaleza de este intercambio amistoso generalmente produce un grado de confianza del que los ciberdelincuentes se aprovechan con entusiasmo.

En un escenario típico, un ataque BEC se produce con el criminal apuntando a un ejecutivo de una empresa determinada. Digamos que la compañía A suministra piezas de automóviles a la empresa B en un horario establecido, para lo cual esta última le trasfiere el pago. Sabiendo esto, el criminal se infiltrará en el sistema de correo de la Compañía A, a menudo a través de un esquema de "phishing", enviando un correo falso o un link web. Cuando se hace click en él, la cuenta objetivo se ve comprometida. El criminal puede entonces monitorear los mensajes y la actividad de la cuenta, familiarizándose con la manera en que el ejecutivo de la compañía A emplea el e mail y de qué forma exactamente se producen las transacciones con la compañía B. Al detectar una buena ocasión, el delincuente envía un mensaje falso o bien comprometido solicitando la transferencia electrónica.

En este escenario, la compañía A se ve perjudicada por el hecho de que ha hecho la entrega frecuente a la empresa B mas no ha recibido el pago. La empresa B también se ve perjudicada pues ha emitido el pago destinado a la empresa A pero ahora en las arcas del criminal. Normalmente, la compañía A demandará un pago lícito a la compañía B, o bien le exigirá que devuelva la mercadería. ¿A dónde ir desde aquí?

Recuperar los activos de un ataque cibernético del criminal

Tras un ataque de la BEC, es posible que las compañías víctimas recobren los activos perdidos. El IC3 del FBI notificó que en 2019, su Equipo de Activos de Restauración fue capaz de recuperar aproximadamente el 79 por ciento de las pérdidas potenciales por las reclamaciones que fueron remitidas al Equipo de Activos de Restauración, por un total de trescientos cuatro con nueve millones de dólares americanos. Sin embargo, para tener alguna esperanza de obtener la recuperación del delincuente, una empresa víctima debe denunciar el fraude al FBI o bien a otras fuerzas del orden, y hay varias razones por las que una compañía podría ser reacia a hacerlo. Conforme el Departamento de Justicia, a partir de 2016, sólo el quince por ciento de las víctimas de fraude empresarial en todo el país denuncian el delito.

¿Por qué razón las empresas son tan precavidas? Primeramente, una empresa puede considerar la persecución de un ciberdelincuente como una pérdida de tiempo y de recursos, singularmente cuando se determina que el pirata informático está operando en el extranjero. En verdad, debido a que tantos ciberdelincuentes ejercen su actividad fuera de los Estados Unidos, con frecuencia es exageradamente difícil hacerles rendir cuentas.

Seguidamente, la detención del autor puede no ser la mayor prioridad de la compañía. En cambio, se va a centrar en apuntalar los controles internos para https://writeablog.net/x1veldj195/ofrecemos-una-garantandiacute-a-de-devoluciandoacute-n-de-dinero-de-30-dandiacute-as asegurar que no sea de nuevo víctima, como en cumplir sus obligaciones legales de notificar a los reguladores y a las partes perjudicadas. Podría preocuparle la publicidad negativa o el daño a su reputación. Es probable que estas preocupaciones sean exageradas, pero podrían llevar a una empresa a intentar solucionar las polémicas conexas con sus socios de forma informal o bien en los tribunales civiles.

Recuperación de activos del asociado comercial

Cuando una empresa no puede recobrar el dinero robado por un ciberdelincuente, puede decidir buscar la recuperación del socio comercial. Cuando semejantes disputas no pueden ser resueltas informalmente, conducen a pleitos, centrándose en qué parte fue más negligente en la habilitación del esquema: ¿Fue la compañía A, cuyo sistema de correo fue en un inicio pirateado, o bien la compañía B, que mandó el pago a una cuenta fraudulenta?

En los últimos tiempos se han visto un puñado de resoluciones judiciales que involucran a víctimas del esquema BEC que se han demandado entre sí. ¿Qué compañía debería asumir el peligro de pérdida? Hasta ahora los tribunales han adoptado un enfoque similar para estos casos.

El primer caso relevante fue una disputa de dos mil quince, Arrow Truck Sales contra Top Quality Truck & Equipment, Inc., en la que una empresa, Top Quality, negoció la venta de un conjunto de camiones a la otra por 570.000 dólares estadounidenses. Tanto el sistema de correo del vendedor como el del comprador fueron pirateados por estafadores externos que enviaron instrucciones "actualizadas" de cableado al comprador, Arrow Truck, que las creyó reales; los delincuentes se salieron con la suya por el precio total de compra de 570.000 dólares estadounidenses.

El tribunal de distrito señaló que no había jurisprudencia aplicable sobre la cuestión de qué parte aguantaba la pérdida derivada del fraude de un tercero que provocaba el incumplimiento del contrato. En su sitio, tomó como guía el Código Comercial Uniforme, que establece, bajo la "regla del farsante", que la parte que padece la pérdida es la que está en mejor situación para prevenir una falsificación ejerciendo un cuidado razonable. Tras un juicio de prueba, el tribunal determinó, sobre la base de esos argumentos, que el comprador de los camiones debía aceptar la pérdida. "Las instrucciones [del cable] implicaban una información totalmente diferente de todas las instrucciones precedentes", observó el tribunal. "En resumen, [Arrow Truck] debió haber ejercido un cuidado razonable tras percibir correos electrónicos contradictorios que contenían instrucciones de cable contradictorias, llamando a [Top Quality] para confirmar o contrastar las instrucciones de cable adecuadas antes de enviar los quinientos setenta dólares estadounidenses. Como tal, Arrow debería sufrir la pérdida asociada con el fraude."

En un caso de 2016, Bile contra RREMC, un letrado llamado Uduak Ubom fue hackeado en su e-mail. Ubom representó a Amangoua Bile, un usuario que acababa de llegar a un pacto de 63.000 dólares americanos con su viejo empleador en una demanda por discriminación en el empleo. El estafador usó el correo de Ubom para enviar instrucciones de cableado actualizadas al despacho de abogados que representaba al empleador. Cuando el bufete prosiguió esas instrucciones, el delincuente hurtó el dinero. Bile y su viejo empleador, RREMC, presentaron mociones para hacer cumplir el pacto. El tribunal celebró una audiencia probativa