El placer de los estafadores

Los ciberdelincuentes rara vez descansan, siempre y en toda circunstancia buscando vulnerabilidades para explotar, y ahora están apuntando cada vez más a las transacciones comerciales privadas en lo que se conoce como un ataque de compromiso de correo electrónico empresarial (BEC). En tal violación, un ciberdelincuente se infiltra en el sistema de correo electrónico de una compañía y se hace pasar por el propietario de una esencial cuenta de correo electrónico de la empresa. Fingiendo ser un ejecutivo específico, el ladrón manda un e mail a otra empresa con la que el primero tiene una relación continua, enviando instrucciones de envío de dinero legítimamente adeudado a una cuenta corriente establecida y controlada por los autores del plan.

El destinatario del e mail, creyendo que el mensaje es auténtico, transfiere el pago a la cuenta del delincuente. Para cuando los 2 negocios se percatan de que han sido engañados, es ya demasiado tarde, y el dinero que el segundo mandó al primero ya ha desaparecido.

¿Qué ocurre después de algo como esto? ¿Puede una compañía victimizada recobrar los fondos robados? ¿Puede aguardar recuperarse del propio delincuente? Si no se puede hallar al autor, ¿puede la compañía defraudada recobrar el dinero del que ha pirateado sus sistemas?

El hackeo de empresas es un buen negocio

Según el Centro de Denuncias de Delitos en Internet del FBI (conocido como "IC3"), los ciberataques del BEC contra empresas estadounidenses han ocasionado más de ocho mil doscientos millones de dólares estadounidenses en pérdidas desde dos mil trece, con 1.700 millones de dólares americanos auxiliares en pérdidas ajustadas solo en dos mil diecinueve, las mayores pérdidas de bolsillo estimadas de cualquier clase de delito cibernético en ese período. El IC3 también estima que las pérdidas mundiales han superado los 26.000 millones de dólares americanos en los últimos 3 años. Puesto que muchos de estos delitos no se denuncian, la cifra real es seguramente considerablemente más alta.

Los ataques del BEC se generan cada vez más en las transacciones comerciales privadas pues los delincuentes, simplemente, ven la vulnerabilidad. Las empresas participan en intercambios regulares en los que el comprador compra una cantidad determinada de bienes a un vendedor y, con el tiempo, los ejecutivos establecen relaciones con sus análogos. La naturaleza de este intercambio amistoso normalmente genera un grado de confianza del que los ciberdelincuentes se aprovechan con entusiasmo.

En un escenario típico, un ataque BEC se origina con el criminal apuntando a un ejecutivo de una compañía determinada. Afirmemos que la compañía A suministra piezas de automóviles a la empresa B en un horario establecido, para lo que esta última le trasfiere el pago. Sabiendo esto, el criminal se infiltrará en el sistema de mail de la Compañía A, de forma frecuente mediante un esquema de "phishing", enviando un e-mail falso o bien un enlace web. En el momento en que se hace clic en él, la cuenta objetivo se ve comprometida. El delincuente puede entonces monitorear los mensajes y la actividad de la cuenta, familiarizándose con la manera en que el ejecutivo de la compañía A usa el correo electrónico y de qué forma exactamente se producen las transacciones con la compañía B. Al advertir una buena oportunidad, el criminal envía un mensaje falso o bien comprometido solicitando la trasferencia electrónica.

En este escenario, la empresa A se ve perjudicada porque ha hecho la entrega habitual a la compañía B mas no ha recibido el pago. La compañía B asimismo se ve perjudicada porque ha emitido el pago destinado a la compañía A mas ahora en las arcas del delincuente. Normalmente, la compañía A exigirá un pago legítimo a la compañía B, o le exigirá que devuelva la mercadería. ¿A dónde ir desde aquí?

Recobrar los activos de un ataque cibernético del criminal

Tras un ataque de la BEC, posiblemente las empresas víctimas recuperen los activos perdidos. El IC3 del FBI notificó que en 2019, su Equipo de Activos de Restauración fue capaz de recuperar más o menos el setenta y nueve por ciento de las pérdidas potenciales por las reclamaciones que fueron remitidas al Equipo de Activos de Recuperación, por un total de 304,9 millones de dólares estadounidenses. Sin embargo, para tener alguna esperanza de conseguir la restauración del delincuente, una compañía víctima debe denunciar el fraude al FBI o bien a otras fuerzas del orden, y hay múltiples razones por las que una empresa https://writeablog.net/t2wivtk836/el-placer-de-los-estafadoreslos-ciberdelincuentes-rara-vez-descansan-siempre-y podría ser reacia a hacerlo. Según el Departamento de Justicia, a partir de 2016, solo el 15 por ciento de las víctimas de fraude empresarial en todo el país denuncian el delito.

¿Por qué las empresas son tan cautas? En primer lugar, una empresa puede estimar la prosecución de un ciberdelincuente como una pérdida de tiempo y de recursos, especialmente cuando se determina que el pirata informático está operando en el extranjero. De hecho, debido a que tantos ciberdelincuentes ejercitan su actividad fuera de los E.U., a menudo es exageradamente bastante difícil hacerles rendir cuentas.

Seguidamente, la detención del autor puede no ser la mayor prioridad de la empresa. En cambio, se centrará en apuntalar los controles internos para asegurar que no vuelva a ser víctima, como en cumplir sus obligaciones legales de notificar a los reguladores y a las partes afectadas. Podría preocuparle la publicidad negativa o el daño a su reputación. Es probable que estas preocupaciones sean exageradas, pero podrían llevar a una empresa a intentar solucionar las controversias conexas con sus asociados de manera informal o en los tribunales civiles.

Recuperación de activos del socio comercial

Cuando una empresa no puede recuperar el dinero robado por un ciberdelincuente, puede decidir buscar la recuperación del socio comercial. Cuando semejantes disputas no pueden ser resueltas informalmente, conducen a pleitos, centrándose exactamente en qué parte fue más negligente en la habilitación del esquema: ¿Fue la compañía A, cuyo sistema de e mail fue inicialmente pirateado, o bien la compañía B, que envió el pago a una cuenta fraudulenta?

En los últimos tiempos se han visto un puñado de decisiones judiciales que implican a víctimas del esquema BEC que se han demandado entre sí. ¿Qué compañía debería aceptar el riesgo de pérdida? Hasta el momento los tribunales han adoptado un enfoque afín para estos casos.

El primer caso relevante fue una disputa de 2015, Arrow Truck Sales contra Top Quality Truck & Equipment, Inc., en la que una compañía, Top Quality, negoció la venta de un grupo de camiones a la otra por quinientos setenta dólares. Tanto el sistema de mail del vendedor como el del comprador fueron pirateados por estafadores externos que mandaron instrucciones "actualizadas" de cableado al comprador, Arrow Truck, que las creyó reales; los criminales se salieron con la suya por el costo total de adquiere de quinientos setenta dólares.

El tribunal de distrito señaló que no había jurisprudencia aplicable sobre la cuestión de qué parte aguantaba la pérdida derivada del fraude de un tercero que provocaba el incumplimiento del contrato. En su lugar, tomó como guía el Código Comercial Uniforme, que establece, bajo la "regla del impostor", que la parte que padece la pérdida es la que está en mejor situación para prevenir una falsificación ejercitando un cuidado razonable. Después de un juicio de prueba, el tribunal determinó, sobre la base de esos razonamientos, que el comprador de los camiones debía asumir la pérdida. "Las instrucciones [del cable] implicaban una información totalmente diferente de todas y cada una de las instrucciones precedentes", observó el tribunal. "En resumen, [Arrow Truck] debió haber ejercido un cuidado razonable tras percibir mails contradictorios que contenían instrucciones de cable contradictorias, llamando a [Top Quality] para confirmar o verificar las instrucciones de cable correctas antes de mandar los quinientos setenta dólares. Como tal, Arrow debería padecer la pérdida asociada con el fraude."

En un caso de dos mil dieciseis, Bile contra RREMC, un letrado llamado Uduak Ubom fue hackeado en su correo electrónico. Ubom representó a Amangoua Bile, un cliente que acababa de llegar a un pacto de sesenta y tres dólares con su viejo empleador en una demanda por discriminación en la utilización. El estafador utilizó el correo electrónico de Ubom para enviar instrucciones de cableado actualizadas al despacho de abogados que representaba al empleador. Cuando el bufete prosiguió esas instrucciones, el delincuente hurtó el dinero.