‘La Guardia Civil desarticula una organización criminal dedicada a estafar a empresas mediante el modus operandi fraude al CEO’. Así reza el titular de una nota de prensa enviada hace solo unos días por el instituto armado. Hace referencia a la Operación Furantur, que se ha saldado con la desarticulación de una organización criminal, compuesta por nueve personas, que estafó más de 115.000 euros a una empresa ubicada en Borja (Zaragoza).
La investigación se inició en octubre de 2018 cuando los responsables de la compañía dedicada a la fabricación de piezas plásticas para automóviles presentaron una denuncia comunicando que habían sido víctimas de una estafa tras realizar el pago de una factura a otra empresa de Navarra, que no lo llegó a recibir. Los ciberdelitos mueven ya más dinero que el narcotráfico. Según se desprende de un informe del Centro de Estudios Estratégicos e internacionales (CSIS) y la empresa antivirus McAfee, publicado este mismo año, suponen un coste de casi 600.000 millones de dólares (más de 530.000 millones de euros), el 0,8 % del PIB mundial.
De ahí que la preocupación de las empresas por caer en las redes de estas organizaciones criminales haya aumentado en los últimos años. Tanto es así que el consejero de Universidad, Innovación y Transformación Digital del Gobierno de Navarra, Juan Cruz Cigudosa, anunció el pasado 19 de noviembre la creación del Navarra Cybersecurity Center.
Navarra Capital se ha puesto en contacto con expertos de diferentes cuerpos policiales para conocer cómo afecta la ciberdelincuencia a las empresas regionales. El brigada jefe del Equipo de Delincuencia Económica y Tecnológica de la Guardia Civil en Navarra, que prefiere no desvelar su identidad; el inspector del Grupo II de Delitos Tecnológicos de la Policía Nacional en Navarra, que también desea preservar el anonimato; y el responsable de la Brigada de Delitos contra el Patrimonio de Policía Foral, Miguel Ruiz, coinciden en que la investigación de las estafas cometidas a través de internet es complicada y muchos de estos casos no se resuelven porque se les pierde la pista en el extranjero. Apuntan también que el ciberdelincuente se siente impune por estar menos expuesto que en otro tipo de delitos. Un análisis similar al que realizó recientemente el ciberabogado Álvaro Écija en una entrevista de Capital Directo.
Cinco empresas navarras han interpuesto denuncias en Policía Foral en lo que va de año por valor de 200.000 euros.
En 2021, Ruiz ha contabilizado cinco denuncias de empresas en Policía Foral por valor de 200.000 euros. Y, en 2019, año previo a la pandemia, registró siete por un importe total de 500.000. Todas ellas oscilan entre los 1.000 y los 100.000 euros. «Hace dos años tenemos también constancia de dos tentativas».
Por su parte, el brigada jefe de la Guardia Civil no facilita las cifras exactas de las denuncias efectuadas, pero sí da un dato muy revelador: en 2020, las compañías que pusieron sus casos en manos de la Benemérita perdieron 8 millones de euros. «Tuvimos una gran fortuna porque de una estafa muy importante se recuperaron 5 millones», comenta con satisfacción. «Pero no es lo habitual». Las cantidades estafadas en sus casos presentan grandes diferencias: «Oscilan de los 20.000 y 30.000 euros hasta más de 6 millones».
Desde Policía Nacional tampoco aportan datos concretos sobre el número de denuncias. Sí afirman que las estafas denunciadas en los últimos años van desde los 180.000 euros hasta 1.846.288 euros. «Esta última corresponde a una estafa que sufrió una empresa navarra el año pasado», concreta el inspector.
La mayoría de ellas responden a la modalidad de la ‘estafa del CEO’. Pero también es frecuente «una más técnica» conocida como ‘man in the middle‘, indica el responsable de la Policía Foral. Desde la Guardia Civil añaden a otras de las estafas más habituales: el ya habitual ‘timo del Nazareno’ o las estafas de inversión.
Una firma navarra denunció el año pasado una ciberestafa en la Policía Nacional por valor de 1,8 millones.
Pero el inspector de Policía Nacional amplía el abanico de técnicas. En sus investigaciones también ha visto ataques de ransomware. «Los ciberdelincuentes adjuntan en los correos electrónicos archivos con malware que cifran y bloquean los de las empresas para posteriormente solicitar un rescate, generalmente en monedas virtuales», detalla.
«Al igual que la tecnología avanza, las técnicas utilizadas por los ciberdelincuentes lo hacen a la par». Por eso, advierte de que los correos cada vez son «más depurados» y los ciberdelincuentes van cambiando su forma de proceder «para reducir su riesgo de exposición».
Precisamente, el brigada jefe de la Guardia Civil incide en que es un tipo de delito muy lucrativo y con menos riesgos que otros. «El que quiere atracar un banco tiene que ir allí», ejemplifica. Pero, a la hora de poner en marcha una ciberestafa, «el delincuente está detrás de un ordenador trabajando desde casa».
EL RASTRO DEL DINERO
Los ciberdelincuentes se lo ponen muy difícil a los agentes a la hora de investigar. «Tenemos las herramientas que tenemos», reconoce el brigada jefe de la Guardia Civil. Y explica que muchas veces, si no ven posibilidades claras de rastrear las direcciones IP o los correos electrónicos, «se descarta esa línea porque existen muchas herramientas de anonimización». En esos casos, optan por buscar lo más tangible: el dinero.
Para localizarlo, centran sus esfuerzos en el número de cuenta corriente en el que se ha realizado el ingreso. «Cuando el dinero sale de España y va a la Unión Europea, tenemos que solicitar al juzgado que emita una orden europea de investigación. Y, si la autoriza, hay que traducir esos documentos. Si va a otros países, hay que pedir una comisión rogatoria internacional».
Policía Foral: «Suelen saltar las alarmas cuando la empresa emisora de la factura llama para reclamar el pago».
Ruiz añade que, para seguir las conexiones del correo electrónico, «es necesario que la empresa haga un trabajo de recopilar información».
La investigación patrimonial, generalmente, les suele llevar a identificar a las llamadas mulas. «Son gente que trabaja para la organización a cambio de dinero y que dan sus datos para crear cuentas corrientes falsas», explica. Estas también se abren a menudo con identidades usurpadas, por eso es tan complicado dar con el dinero. «Si conseguimos localizarlo y paralizarlo, ya nos damos con un canto en los dientes».
De hecho, muchas veces en las que su equipo ha conseguido recuperar parte del dinero estafado ha sido porque la persona que realizó la trasferencia se dio cuenta de la estafa en el momento. «En esos casos, hablando con su banco y con la entidad bancaria receptora, se consigue paralizar la operación».
Precisamente, una de las mayores dificultades en la investigación radica en que las víctimas suelen tardar tiempo en darse cuenta de que han caído en la trampa. «Suelen saltar las alarmas cuando la empresa emisora de la factura llama para reclamar el pago», lamenta el responsable de Policía Foral. Y el inspector de la Policía Nacional también hace referencia al tiempo como una de las principales dificultades: «Nos encontramos con que este tipo de estafas suceden a gran velocidad, pero hay lentitud en la Administración y las entidades privadas involucradas para intentar ponerles freno». Pese a lo descrito anteriormente, confirma que en «bastantes investigaciones» se han conseguido bloquear y retrotraer total o parcialmente los fondos estafados.
PREVENCIÓN ANTES QUE REACCIÓN
Pero, en general, «el porcentaje de resoluciones es mínimo», puntualiza el responsable de Policía Foral. Tanto es así que «el Ministerio de Interior ha cursado un plan estratégico para la lucha contra la cibercriminalidad y las principales líneas pasan por la prevención porque son conscientes de que la investigación es muy difícil», cuenta.
Guardia Civil: «Las empresas apuestan por una seguridad física. Ponen una valla, una puerta acorazada o una caja fuerte. Pero descuidan la seguridad informática».
«Nosotros siempre decimos que las empresas apuestan por una seguridad física. Ponen una valla, una puerta acorazada o una caja fuerte. Pero descuidan la seguridad informática», reflexiona el brigada jefe de la Guardia Civil. «En los tiempos que corren, hay que ponerse las pilas en ese sentido porque estamos viendo una pérdida de dinero brutal», advierte.
Y una de las inversiones que recomiendan estos expertos pasa por la formación de los empleados. «En las empresas puedes tener todas las herramientas pero el que tiene la capacidad de dejar entrar algo malo es el empleado», señala el brigada jefe de la Guardia Civil. Además, «los malos se buscan la forma de generar la confusión suficiente para que caigas». Por eso es de vital importancia que el empleado desarrolle «ese sexto sentido», con el que puede detectar que «hay algo raro».
En ese sentido, el responsable de Policía Foral asegura que para evitar este tipo de estafas primero debe cambiar el funcionamiento de las empresas: «Tienen que contar con su proceso de doble verificación». Y eso pasa por no permitir un cambio de cuenta solamente por correo electrónico. «El eslabón más débil siempre es el humano», subraya.
Policía Nacional: «Tenemos que formarnos constantemente e intentar entender cómo trabajan, cómo hacen sus ataques y encontrar las vulnerabilidades y errores que cometen».
El brigada jefe de la Guardia Civil también es partidario de instaurar métodos de doble verificación: «Siempre recomiendo a las empresas que, si se hace un cambio de cuenta, se utilice algún otro medio para confirmarlo».
Y, con la vista puesta en el futuro, el inspector de la Policía Nacional se marca un reto claro: la adaptación. «Como investigadores, tenemos que formarnos constantemente e intentar entender cómo trabajan, cómo hacen sus ataques y encontrar las vulnerabilidades y errores que ellos cometen. Esto nos permitirá prevenir y obtener mejores resultados en un futuro».
Entra aquí para leer más sobre empresa en Navarra.
