por Stuart Madnick
Están combinando información real con pequeños fragmentos de información errónea para robar a empresas e individuos.
• • •
Desinformación se menciona con frecuencia en los medios de comunicación, normalmente en el contexto de la política, y se ve como sinónimo de noticias falsas. Aunque se trata de cuestiones graves, a menudo se pasa por alto un peligro mayor y más personal: la forma en que los ciberdelincuentes utilizan la información errónea para robar a empresas y personas.
Una definición de desinformación es: «información falsa o inexacta, especialmente la que es con la intención deliberada de engañar.». Pero la desinformación puede ser más eficaz y engañosa cuando se combina con grandes cantidades de información verdadera y precisa, especialmente información que solo unos pocos conocen. Aprovechando los ciberataques que roban cierto información, los delincuentes pueden combinar eso con solo un pedacito de desinformación que tendría un impacto financiero importante para las empresas y los particulares.
Doy varios ejemplos a continuación. Como estas situaciones eran muy delicadas, las organizaciones afectadas solo accedieron a explicarme las situaciones bajo la condición de mantener el anonimato. Este es un requisito habitual, por lo que se cree que los ciberataques denunciados públicamente solo representan una pequeña fracción de los ciberataques reales.
Aprovechar las transferencias bancarias
La mayoría de nosotros hemos oído hablar de estafas que roban números de tarjetas de crédito. En la mayoría de los casos, puede impugnar o cancelar los cargos indebidos de la tarjeta de crédito para, en última instancia, no perder dinero. Pero hay una diferencia clave con las transferencias bancarias: son normalmente de forma inmediata e irreversible. Es decir, cuando se utiliza una transferencia bancaria, el dinero desaparece, especialmente si este engaño no se descubre de inmediato. Los ciberdelincuentes han aprovechado esta función de varias formas.
Un ejemplo es el de los delincuentes que entran en los sistemas informáticos de una empresa, donde luego dedican tiempo a leer los correos electrónicos y a aprender los procedimientos internos. Los delincuentes aprenden qué funcionarios están autorizados a dar instrucciones de transferencia bancaria a la oficina financiera y cuáles son los procedimientos. Luego se hacen pasar por funcionarios, uno por uno durante varios días, que dan instrucciones para realizar transferencias bancarias, algunas por más de 500 000$, a las cuentas del delincuente.
Cuando se dio cuenta de este costoso problema en una empresa con la que hablé, se pusieron en marcha procedimientos para comprobar que esas transferencias bancarias las había solicitado realmente el personal autorizado. Esto implicaba hablar directamente por teléfono con la persona autorizada y comprobar los detalles de la transacción. Lamentablemente, estos procedimientos sensatos a menudo solo se ponen en marcha después ya se ha cometido un delito.
No son solo las empresas las que pueden perder dinero con el fraude electrónico. Ejecutivo compradores de viviendas son objetivos populares. Un paso clave en la mayoría de las transacciones de compra de una vivienda consiste en transferir una cantidad sustancial de dinero mediante transferencia a una sociedad de títulos o depósito en garantía que retiene el dinero hasta que el título de la propiedad se transfiera al nuevo propietario y, entonces, y solo entonces, la empresa de depósito en garantía transfiere esos fondos al vendedor de la vivienda.
Los delincuentes utilizan un proceso de varios pasos para obtener sus beneficios en estas situaciones. Primero, irrumpen en los sistemas informáticos del agente inmobiliario, el abogado o el agente de títulos. Puede que pasen semanas o incluso meses aprendiendo sobre los próximos cierres, los procedimientos de la empresa y los detalles, incluidos ejemplos de instrucciones de transferencia bancaria. Como puede haber complicaciones en el último momento, se suele recomendar a los compradores de vivienda que hagan la transferencia bancaria con uno o dos días de antelación. La compañía de títulos suele enviar las instrucciones con un día de antelación, por lo que los ciberdelincuentes las enviarán con dos días de antelación. Estas instrucciones parecen provenir de la compañía de títulos, ya que se basan en las instrucciones reales, pero la información de destino está alterada. Solo han enterrado un poco de información errónea en un lote de información verdadera.
Se han robado cientos de millones de dólares de esta manera en un solo año. De hecho, más de 13 000 personas fueron víctimas de fraude electrónico en el sector inmobiliario y de alquileres en 2020, con pérdidas de más de 213 millones de $, un 380% más que en 2017, según datos del FBI. Podría encontrarse en una situación en la que hubiera vendido su casa anterior y hubiera utilizado el dinero recibido más sus ahorros para comprar una casa mejor y más nueva en otra ciudad. Puede que esté en su coche a mitad de camino a la nueva ciudad para mudarse a su nueva casa al día siguiente cuando reciba una llamada de su agente inmobiliario preguntándole dónde está su pago. Tras muchas llamadas frenéticas, se da cuenta de que le han robado el dinero y que ahora está sin hogar y sin dinero.
Hay varias cosas que las personas y las empresas pueden hacer para reducir el riesgo de ciberdelitos mediante transferencias bancarias. Primero, confirme siempre las instrucciones de transferencia bancaria del teléfono con la persona que debería recibir el dinero antes de transferir el dinero. Pero asegúrese de confirmar que está hablando con la persona adecuada. Es posible que los delincuentes hayan incluido un número de teléfono falso en las instrucciones que ha recibido, así que compruebe siempre el número correcto con antelación en un sitio web oficial o hablando directamente con una fuente conocida que pueda comprobar la información correcta.
Robar cheques de pago
Muchas empresas ofrecen sistemas que permiten a los empleados mantener y actualizar su información personal, como la dirección de su casa, el teléfono y los datos bancarios para depositar directamente su cheque de pago mensual. Los delincuentes han irrumpido en las cuentas de algunos empleados bien pagados y, el día anterior al envío del pago, han cambiado los datos bancarios. Luego, al día siguiente, volvieron a cambiar los datos bancarios a la normalidad para que no se diera cuenta de que estaba fuera de servicio. Continuaron con este plan durante varios meses hasta que un ejecutivo recibió un aviso de que no había fondos suficientes en un cheque y solo entonces se dio cuenta de que su banco no había recibido los pagos mensuales esperados. (¡Supongo que ninguno de estos ejecutivos balanceaba sus cuentas bancarias mensualmente!) Esto ilustra la importancia de comprobar su cuenta bancaria con la suficiente frecuencia como para detectar actividades inusuales o erróneas, especialmente para confirmar que se están realizando los depósitos esperados.
Engañar a la gente para que ayude al «jefe»
La mayoría de nosotros hemos oído hablar de la clásica estafa en la que el CEO de la empresa le pide al director CFO que envíe fondos a alguna parte. Si no es CEO, puede suponer que esas estafas no son relevantes para usted, pero ese no es el caso.
Una forma de esta estafa, especialmente popular en los campus universitarios, consiste en que un miembro del personal reciba lo que parece ser un correo electrónico de un superior, normalmente del jefe de departamento. Al miembro del personal se le cuenta una historia como: «Acabo de darme cuenta de que voy a ir a la fiesta de cumpleaños de mi sobrino esta noche y estoy en reuniones todo el día, así que no tendré tiempo de comprar un regalo. ¿Podría hacerme un pequeño favor y comprar una tarjeta de regalo de 100 dólares y enviarme un correo electrónico con los números que aparecen en el reverso?» Como lamentó una víctima: «No venía solo de uno de mis colegas, sino que llegó a nombre del director de mi departamento.» En un caso del que he oído hablar, ocho de cada 10 profesores de un solo departamento cayeron en la estafa. Una vez más, es importante comprobar que el mensaje viene realmente de su jefe.
Por qué es importante ser cauteloso
El objetivo de todo esto es que, aunque la desinformación, en forma de noticias falsas, es un problema, ya que combina muchos real información con solo un un poquito de desinformación puede ser devastador. Los ejemplos de arriba son solo algunos ejemplos recientes. Como se ha dicho, hay cosas que se pueden hacer para eliminar o, al menos, reducir drásticamente esos delitos, pero esos procedimientos y precauciones deben ponerse en marcha ahora, no después del delito.
Pero tenga en cuenta que los ciberdelincuentes son increíblemente creativos y, a menudo, cuentan con mucha información sobre usted. Es posible que se acerquen más planes traicioneros, por lo que es importante aprender continuamente sobre nuevos planes, ser cauteloso y preparar las defensas.
Reconocimiento: La investigación publicada en este artículo contó con el apoyo, en parte, de fondos de los miembros del consorcio Cybersecurity at MIT Sloan (CAMS).
_