Los ciberdelincuentes cometen muchos de sus delitos combinando muchos real información con solo un poquito de información errónea, que puede resultar devastador desde el punto de vista financiero tanto para las empresas como para las personas. Este artículo describe algunos ejemplos recientes de esta técnica, que incluyen la explotación de las transferencias bancarias, el robo de cheques de pago y el engaño de los empleados para que ayuden al «jefe». Es importante aprender continuamente sobre estos nuevos planes para que sepa qué buscar y cómo preparar sus defensas. Si bien hay cosas que se pueden hacer para eliminar o, al menos, reducir drásticamente estos delitos, hay que poner en marcha procedimientos y precauciones ahora, no después de que se haya cometido un delito, especialmente a medida que los propios ciberdelincuentes se vuelven cada vez más creativos.
•••
Información errónea se menciona con frecuencia en los medios de comunicación, normalmente en el contexto de la política y se ve como sinónimo denoticias falsas. Aunque se trata de problemas graves, a menudo se pasa por alto un peligro mayor y más personal: la forma en que los ciberdelincuentes utilizan la información errónea para robar a empresas y personas. Una definición deinformación errónea es: «información falsa o inexacta, especialmente la que escon la intención deliberada de engañar.». Pero la información errónea puede resultar más eficaz y engañosa cuando se combina con grandes cantidades de información verdadera y precisa, especialmente información que solo unos pocos conocen. Aprovechando los ciberataques que roban cierto información, los delincuentes pueden combinarlo con solo un pedacito de información errónea que tendrá un importante impacto financiero para las empresas y las personas. Pongo varios ejemplos a continuación. Como estas situaciones eran muy delicadas, las organizaciones afectadas solo accedieron a explicarme las situaciones bajo la condición de mantener el anonimato. Este es un requisito común, por lo que se cree que los ciberataques denunciados públicamente solo representan una pequeña fracción de los ciberataques reales. ## Aprovechar las transferencias bancarias La mayoría de nosotros hemos oído hablar de estafas que roban números de tarjetas de crédito. En la mayoría de los casos, puede impugnar o cancelar los cargos indebidos a las tarjetas de crédito para, en última instancia, no perder dinero. Pero hay una diferencia clave con las transferencias bancarias: sonnormalmente de forma inmediata e irreversible. Es decir, cuando se utiliza una transferencia bancaria, el dinero desaparece, especialmente si este engaño no se descubre de inmediato. Los ciberdelincuentes han aprovechado esta función de varias formas. Un ejemplo es el de delincuentes que entran en los sistemas informáticos de una empresa, donde dedican tiempo a leer los correos electrónicos y a aprender los procedimientos internos. Los delincuentes se enteran de qué funcionarios están autorizados a emitir instrucciones de transferencia bancaria a la oficina financiera y cuáles son los procedimientos. Luego se hacen pasar por esos funcionarios, uno por uno durante varios días, emitiendo instrucciones para realizar transferencias bancarias, algunas por más de 500 000 dólares, a las cuentas del delincuente. Cuando se solucionó este costoso problema en una empresa con la que hablé, se pusieron en marcha procedimientos para exigir la verificación de que esas transferencias bancarias las había solicitado realmente el personal autorizado. Esto implicó hablar directamente por teléfono con la persona autorizada y comprobar los detalles de la transacción. Lamentablemente, procedimientos tan sensatos a menudo solo se ponen en marcha después ya se ha cometido un delito. No son solo las empresas las que pueden perder dinero por fraude electrónico. Ejecutivocompradores de vivienda son objetivos populares. Un paso clave en la mayoría de las transacciones de compra de una vivienda consiste en transferir una cantidad sustancial de dinero mediante transferencia bancaria a una sociedad de títulos o depósitos en garantía que retiene el dinero hasta que el título de la propiedad se transfiera al nuevo propietario y, entonces, y solo entonces, la sociedad de depósitos en garantía transfiere esos fondos al vendedor de la vivienda. Los delincuentes utilizan un proceso de varios pasos para cosechar sus beneficios en estas situaciones. Primero, irrumpen en los sistemas informáticos del agente inmobiliario, abogado o agente de títulos. Puede que dediquen semanas o incluso meses a aprender sobre los próximos cierres, los procedimientos de la empresa y los detalles, incluidos ejemplos de instrucciones de transferencia bancaria. Como puede haber complicaciones de última hora, se suele recomendar a los compradores de vivienda que hagan la transferencia bancaria con uno o dos días de antelación. La compañía de títulos normalmente envía las instrucciones con un día de antelación, por lo que los ciberdelincuentes las envían con dos días de antelación. Estas instrucciones parecen provenir de la empresa de títulos, ya que se basan en las instrucciones reales, pero la información de destino está alterada. Solo han enterrado un poco de información errónea en un lote de información verdadera. Se han robado cientos de millones de dólares de esta manera en un solo año. De hecho, más de 13 000 personas fueron víctimas de fraude electrónico en el sector inmobiliario y de alquileres en 2020, con pérdidas de más de 213 millones de dólares, un 380% más que en 2017,según datos del FBI. Podría encontrarse en una situación en la que hubiera vendido su casa anterior y hubiera utilizado el dinero recibido más sus ahorros para comprar una casa nueva y mejor en otra ciudad. Puede que esté en su coche a mitad de camino a la nueva ciudad para mudarse a su nueva casa al día siguiente cuando reciba una llamada de su agente inmobiliario preguntándole dónde está el pago. Después de muchas llamadas frenéticas, se da cuenta de que le han robado el dinero y que ahora no tiene hogar y está arruinado. Hay varias cosas que tanto las personas como las empresas pueden hacer para reducir el riesgo de ciberdelitos mediante transferencias bancarias. Primero, confirme siempre las instrucciones de transferencia bancaria del teléfono con la persona que debería recibir el dinero antes de transferir el dinero. Pero asegúrese de confirmar que está hablando con la persona adecuada. Es posible que los delincuentes hayan incluido un número de teléfono falso en las instrucciones que ha recibido, así que compruebe siempre el número correcto con antelación en un sitio web oficial o hablando directamente con una fuente conocida que pueda comprobar la información correcta. ## Robar cheques de pago Muchas empresas ofrecen sistemas que permiten a los empleados mantener y actualizar su información personal, como el domicilio, el teléfono y los datos bancarios, para depositar directamente su cheque de pago mensual. Unos delincuentes irrumpieron en las cuentas de algunos empleados bien pagados y, el día anterior al envío del pago, cambiaron los datos bancarios. Luego, al día siguiente, cambiaron los datos bancarios a los normales para que no se notara nada fuera del servicio. Continuaron con este plan durante varios meses hasta que un ejecutivo recibió una notificación de que no había fondos suficientes en un cheque y solo entonces se dio cuenta de que su banco no había recibido los pagos mensuales previstos. (¡Supongo que ninguno de esos ejecutivos balanceaba sus cuentas bancarias mensualmente!) Esto ilustra la importancia de comprobar su cuenta bancaria con la suficiente frecuencia como para detectar actividades inusuales o erróneas, especialmente para confirmar que se están realizando los depósitos previstos. ## Engañar a la gente para que ayude al «jefe» La mayoría de nosotros hemos oído hablar de la clásica estafa en la que el CEO de la empresa le pide al CFO que envíe fondos a alguna parte. Si no es CEO, puede suponer que esas estafas no son relevantes para usted, pero no es así. Una forma de estafa, especialmente popular en los campus universitarios, consiste en que un miembro del personal reciba lo que parece ser un correo electrónico de un superior, normalmente el jefe del departamento. Al empleado se le cuenta una historia como: «Me acabo de dar cuenta de que voy a ir a la fiesta de cumpleaños de mi sobrino esta noche y estoy en las reuniones todo el día, así que no tendré tiempo de comprar un regalo. ¿Podría hacerme un pequeño favor y comprar una tarjeta de regalo de 100 dólares y enviarme un correo electrónico con los números del reverso?» Como lamentó una víctima: «No venía solo de uno de mis colegas, sino que llegóen nombre del director de mi departamento.». En un caso del que he oído hablar, ocho de cada 10 profesores de un solo departamento cayeron en la estafa. Una vez más, es importante comprobar que el mensaje viene realmente de su jefe. ## Por qué es importante tener cuidado El punto de todo esto es que, aunque la desinformación, en forma de noticias falsas, es un problema, la combinación de muchos real información con solo un poquito de desinformación puede ser devastadora. Los ejemplos anteriores son solo algunos ejemplos recientes. Como se ha dicho, hay cosas que se pueden hacer para eliminar o, al menos, reducir drásticamente estos delitos, pero esos procedimientos y precauciones deben ponerse en marcha ahora, no después del delito. Pero tenga en cuenta que los ciberdelincuentes son increíblemente creativos y, a menudo, disponen de mucha información sobre usted. Es posible que se avecinen planes más traicioneros, por lo que es importante aprender continuamente sobre los nuevos planes, ser cauteloso y preparar sus defensas. Reconocimiento: La investigación publicada en este artículo se financió, en parte, con fondos de los miembros del consorcio Cybersecurity at MIT Sloan (CAMS).