Las estafas 'on line' parecen no tener límites. La Guardia Civil de Huesca ha investigado a dos mujeres que desviaban a sus cuentas los pagos realizados por unos clientes a las empresas que habían trabajado para ellos. Interceptaban los correos electrónicos con los que se comunicaban estos y modificaban el número de la cuenta bancaria para que el ingreso se realizara a su favor. 

El caso lo han esclarecido agentes del Equipo de Asesoramiento, Prevención y Respuesta en materia de Ciberdelincuencia (Equipo @) de la Guardia Civil de Huesca, en el marco de una investigación bautizada como 'Mooring' y de la operación 'Linepipe'. Han trabajado en colaboración con colegas de Las Palmas de Gran Canaria. La investigación hasta dos mujeres acusadas de tres delitos de estafa por internet cuyos perjudicados eran empresas de la provincia de Huesca.

Según ha detallado la Comandancia, la investigación se inició en noviembre de 2023, tras la interposición de dos denuncias en los cuarteles de Sabiñánigo y Boltaña por un supuesto delito de estafa. Los denunciantes eran los responsables de dos empresas que tras realizar unos trabajos y emitir las correspondientes facturas, al proceder al cobro se dieron cuenta de que el dinero que les habían pagado por su trabajo terminó en cuentas bancarias desconocidas. 

Meses más tarde, en febrero de 2024, se interpuso una tercera denuncia con el mismo modus operandi en Monzón. Una persona realizó el pago a una empresa de Cambrils (Tarragona), pero el dinero tampoco llegó a su destinatario.

Te puede interesar

Crecen en Aragón los intentos de homicidio, los delitos sexuales y las estafas online

Los engaños de 33 delincuentes a ciudadanos de Huesca por internet

El análisis técnico en los archivos y documentación aportada por los denunciantes permitió comprobar cómo varios de los correos electrónicos utilizados por las empresas para remitir las facturas se encontraban filtrados. La Guardia Civil ha identificado el ataque como EAC (Email Acount Compromise), técnica utilizada recientemente por los ciberdelincuentes para esta clase de estafas "cada vez más comunes", reconocen los especialistas.

Los ataques EAC consisten en manipular la cuenta de correo de la víctima utilizando diversas técnicas como el robo de credenciales a través de 'phishing' (enlace falso) o consulta de credenciales filtradas con el fin de acceder a toda la información que posee una persona en su correo electrónico, historial de correos, destinatarios comunes, archivos adjuntos, firma, configuraciones etc. 

Además, se aseguran de mantener el acceso a la cuenta, creando reglas de reenvío de correos o cambiando los permisos. Con este conocimiento y capacidad de acceso, pueden intervenir en cualquier conversación y enviar correos realmente convincentes en nombre de la víctima.

Los agentes pudieron constatar que los ciberdelincuentes aprovechando una filtración de las credenciales de los correos electrónicos de las empresas afectadas modificaron las facturas reales cambiando el número de cuenta, por lo que el dinero fue remitido a sucursales bancarias ubicadas en Las Palmas de Gran Canaria.

Una vez identificadas las personas que recibieron el dinero de manera fraudulenta, los agentes procedieron el pasado mes de marzo a la investigación de dos mujeres residentes en esa isla como las presuntas autoras de tres delitos de estafa por valor total de 24.380 euros. Las diligencias fueron remitidas a los decanatos de los juzgados de Jaca, Boltaña y Monzón, donde se tramitaron las denuncias.

Nuevamente el Equipo @ de la Guardia Civil de Huesca, "para poder minimizar el riesgo ante este tipo de estafas", ha emitido las siguientes recomendaciones:

- Comprobar las cuentas bancarias adjuntas en los documentos de facturas antes de realizar cualquier ingreso bancario.

- Utilizar contraseñas robustas y siempre que sea posible habilitar la autenticación en dos pasos.

- Realizar auditorías informáticas cada cierto tiempo para detectar posibles vulnerabilidades o intromisiones no deseadas.

- En el uso diario de envío de facturas a través de correos electrónicos, utilizar un canal seguro de envío de las mismas, adjuntadas en archivos comprimidos y protegidos con contraseña.

- Proteger la red wifi de la empresa. Asegurando como mínimo la red en modo WPA2-AES con contraseñas robustas y no adivinables, así evitaremos que los atacantes puedan colarse en la red local. Si es necesario que los clientes se conecten a una red en nuestra empresa, habilitar una red de invitados con acceso restringido a la red corporativa y servicios de la empresa.

- Evitar proporcionar información personal o financiera por teléfono.

- Tener actualizado el software de nuestros equipos, especialmente el sistema operativo y el navegador.

- Evita usar redes VPN gratuitas, ya que se desconoce quién está detrás de ellas y el uso que puedan darle a la información.

- Acceso a sitios web seguros con certificado. Aquellos que empiezan por HTTPS, comprobando que el certificado pertenece a la compañía o entidad que corresponde.

- Evitar conectar a redes wifi abiertas, "las que podemos encontrar en cafeterías, hoteles, aeropuertos, centros comerciales, vecindarios, etc.". En caso de conexión utilizar una red privada virtual o VPN.

- En caso de conexión a través de redes públicas sin utilizar una VPN (centros comerciales, aeropuertos, etc.), evitar difundir información personal conectándose a redes sociales o banca 'on line', entre otros ejemplos.

- Mantener el firewall por software activado en aquellos sistemas que lo permitan.

- Proteger la página web corporativa mediante un certificado SSL.

- Evitar abrir enlaces de correo procedentes de fuentes desconocidas.

- Emplear software de seguridad como antivirus y antimalware en los equipos corporativos y mantenerlo actualizado, realizando escaneos frecuentemente. Además, también es aconsejable proteger la red LAN mediante el uso de hardware especifico de seguridad como Firewalls o mUTM’s con IPS/IDS (prevención y detección de intrusiones), mejorando así tanto la seguridad pasiva como la activa de la red corporativa.