La Policía Nacional ha alertado sobre el repunte en Galicia, en las últimas semanas, de fraudes digitales basados en la suplantación de identidad, que están afectando tanto al tejido empresarial como a los trabajadores de forma individual. Los ataques, que utilizan técnicas de ingeniería social avanzada, se centran en el desvío de fondos mediante la manipulación de procesos administrativos cotidianos.
El método con el que se han estafado mayores cantidades de dinero consiste en la interceptación de facturas reales, que los delincuentes reenvían desde una dirección casi idéntica a la del proveedor. En un correo electrónico indican que han cambiado sus datos bancarios y solicitan que los pagos pendientes se realicen a una nueva cuenta.
Cada una de estas estafas supone la pérdida de miles de euros, según advierte la Policía Nacional en un comunicado. Esta es una variante del fraude de compromiso de correo electrónico corporativo (BEC, por sus siglas en inglés), de la que los agentes han detectado un auge.
La otra modalidad posible de este fraude afecta al desvío de nóminas, de forma que el atacante se hace pasar por un empleado de la propia empresa y envía un correo al Departamento de Recursos Humanos solicitando un cambio urgente en su cuenta bancaria para el ingreso de la próxima nómina.
Otra amenaza que la Policía considera "importante" es la estafa del CEO. En esta, los delincuentes suplantan a un alto directivo para presionar a empleados y, bajo una supuesta urgencia o confidencialidad extrema, solicitan transferencias bancarias inmediatas.
En la comunidad gallega, los agentes han detectado una modalidad de esta estafa, enfocada a todo tipo de empresas: la estafa del repartidor de mercancía. En ella, la empresa recibe un aviso falso del ciberestafador, que suplanta a una empresa de mensajería o de un proveedor, sobre un paquete bloqueado por un supuesto pago pendiente.
Este aviso llega normalmente mediante una llamada o un correo electrónico a un empleado, al que demandan un pago inmediato para recibir una mercancía supuestamente importante. Utilizarán diferentes técnicas de ingeniería social. Es habitual que aleguen que el jefe o superior de la empresa ya se ha puesto en contacto con ellos y está al corriente de la necesidad de realizar el pago de forma inminente.
Su objetivo es conseguir que el empleado haga alguna transferencia o utilice el dinero de la caja, o el suyo propio, para comprar tarjetas de prepago en algún establecimiento. Posteriormente, el delincuente le pedirá los códigos de cada tarjeta para poder vaciarlas.
Para mitigar estos riesgos, la Policía Nacional insta a las organizaciones a implementar protocolos de verificación de doble factor, como la validación por canal secundario —por ejemplo, confirmar la solicitud de cambios en datos de pago mediante una llamada telefónica— y el examen de dominios de correo.
También propone la implementación de protocolos de autorización, que establezcan que cualquier transferencia de alta cuantía o cambio de cuenta bancaria requiera la firma o autorización de al menos dos personas. Además, en general, los agentes llaman a "desconfiar de correos que soliciten acciones rápidas o que apelen al miedo y la urgencia extrema".