La Guardia Civil esclarece una estafa a un empresario burgalés por valor de 55.000 euros

La Guardia Civil, en el marco de la Operación ‘MITMBUR’, ha detenido a MFA (23) como presunto autor de un delito de estafa y a ARL (26) como presunto autor de otro delito de estafa en grado de tentativa; ambos, en connivencia, utilizaron el método ‘Man in the Middle’ en su versión BEC (Business Email Compromise) para secuestrar un email, suplantar la identidad de la empresa emisora y cambiar el número de cuenta obrante en una factura, obteniendo fraudulentamente el dinero transferido.

Los hechos ocurrieron en diciembre del pasado año; una determinada empresa contrató los servicios de otra compañía; realizado el trabajo ésta emitió una factura por importe de 55.272 euros, documento que envió por correo electrónico para su abono.

La parte contratante recibió el email –que ya había sido manipulado y por tanto era fraudulento- con la factura y transfirió la cantidad solicitada al número de cuenta que figuraba plasmado.

Al momento recibió un segundo correo electrónico de la misma compañía aportando idéntica factura, pero esta vez variaba el número de cuenta reseñado; en esta ocasión la víctima no ingresó ningún dinero y contrastó con la parte contraria la duplicidad del envío.

Ambos empresarios se dieron cuenta entonces de que todo había sido un fraude, ya que los números de cuenta no correspondían con el real de la empresa contratada que, por otra parte, no había recibido cantidad alguna.

Desarrollo de la investigación

A pesar de lo que piensan los autores de este tipo de delitos (denuncias falsas, estafas, timos o ventas fraudulentas…) cometidos vía online, equivocadamente amparados por el supuesto y falso anonimato que proporciona Internet y las nuevas TIC, ningún ilícito realizado a través de la web queda impune ya que siempre existe lo que se denomina ‘huella digital’.

Presentada la consiguiente denuncia, se inició una complicada investigación y se verificó que todo había sido un engaño; la rápida y eficaz respuesta de los investigadores, que se centraron desde el primer instante en el seguimiento y trazabilidad del dinero enviado, permitió localizarle, pero ya en una segunda cuenta a la que había sido transferido, con la intención de dificultar su seguimiento. A la vez bloquearon policialmente ésta y consiguieron recuperar todo el dinero entregado.

Se comprobó que la sociedad emisora había enviado un único email y adjuntado una sola factura; también se comprobó que el número de cuenta de esta empresa no coincidía con ninguno de los obrantes en sendos correos electrónicos fraudulentos recibidos por la víctima.

Ambas partes cayeron en la trampa: una empresa había sido suplantada y la otra estafada.

El estudio y análisis de la ‘huella digital’ dejado por los autores, que actuaron en connivencia, ha permitido su identificación y localización, por lo que han sido detenidos en Valladolid y Madrid.

La investigación ha corrido a cargo del Equipo ‘@’ de la Comandancia de Burgos, que han instruido diligencias entregadas los Juzgados de la capital.

Modus operandi

Los ahora detenidos habían captado el email auténtico, suplantado la identidad de la empresa y cambiado el número de cuenta bancaria que figuraba en la factura original, siendo sustituido éste por los fraudulentos incorporados por los autores, con la intención de beneficiarse del dinero.

Además, reiteraron la factura con el propósito de obtener un lucro ilegal doble, aunque no lo consiguieron.

Estafa por el método ‘Man in the Middle’

Un ataque por el método conocido como ‘Man in the Middle’ (MITM) se produce cuando un hacker interviene en la transmisión de datos entre dos partes que realizan una comunicación electrónica.

Éste se hace pasar por una de ellas o por las dos, ‘secuestra’ la información, la manipula y hace creer de esta forma a los implicados que se están mensajeando entre ellos.

Las características de estas acciones es que se realiza sobre la transmisión de tráfico o datos entre dos partes, ya sean dos usuarios o un usuario y un prestador de servicios. Cuando se desarrolla entre empresas se denomina BEC (Business Email Compromise).

El atacante actúa como intermediario en la comunicación, suplanta la identidad de una o de ambas partes, de forma que los datos siempre pasan por él antes de ser reenviados al contrario.

Aunque el contenido viaje cifrado el ciberdelincuente lo descifra, manipula y transmite de nuevo al destinatario; usuario y prestador de servicios son ajenos al ataque y al engaño.

Para este tipo de conductas relativas a las estafas nuestro Código Penal contempla penas que aplicadas en su grado máximo pueden suponer multa de tres meses y prisión de tres años, que no obstante pueden verse agravadas si concurren otras circunstancias o el concurso de otros hechos delictivos.

La Guardia Civil remarca la colaboración ciudadana y la importancia de denunciar, para lo cual pone a su disposición el número de teléfono 062 o si lo prefiere también el servicio de alertas app alertcops; cualquier información que desee facilitar o colaboración en el ámbito de la seguridad ciudadana, vial, del Patrimonio o medio ambiental es tratada de manera discreta y anónima.