El Man in the Middle (MitM) , es una sofisticada estafa informática derivada del famoso fraude del CEO que combina métodos de engaño tradicionales con modernas técnicas de phishing, está dirigida a personas dentro de organizaciones que tienen funciones administrativas o financieras. El objetivo es engañar a estos empleados haciéndose pasar por un superior o por un proveedor de la empresa para que realicen transferencias de dinero bajo la falsa creencia de estar cumpliendo con su trabajo.
¿Cuál es la diferencia entre el Man in the Middle y el Fraude del CEO?
Precisamente, la diferencia entre ambas estafas es la identidad que suplanta el estafador. En el Man in the Middle, con carácter general, el estafador suplanta una identidad externa (un tercero) que no pertenece a la propia empresa estafada, como por ejemplo, un proveedor habituaal. En cambio, en el Fraude del CEO, el estafador suplanta la identidad de una persona física que pertenece a la propia empresa estafada y que tiene capacidad y potestad en la toma de decisiones de la misma, por ejemplo, el CEO.
Ambos tipos de fraude ponen en peligro los activos financieros de una empresa y compromete la integridad operativa. Dada la sofisticación y el potencial de daño que representan el fraude del CEO y el Man in the Middle, es fundamental que las organizaciones mejoren los procesos y utilicen herramientas para prevenir y responder a estos tipos de fraude.
A través de este artículo en Sirvent y Granados Abogados exploramos la naturaleza del fraude del CEO, identificamos sus principales señales, cómo actuar si has sido estafado, y la responsabilidad de los bancos.
El modus operandi del Man in the Middle
El Man in the Middle, se aprovecha de las relaciones comerciales de confianza que existen entre proveedores habituales para perpetrar estafas financieras. A diferencia del phishing tradicional, que generalmente busca engañar a individuos para robar “información sensible”, este tipo de estafa apunta directamente a empleados clave dentro de una organización, normalmente pertenecientes a departamentos de administración, contabilidad y/o pagos, utilizando tácticas de ingeniería social para lograr sus objetivos.
Los estafadores comienzan su operación con una exhaustiva investigación sobre su objetivo. Utilizan información de fuentes públicas, páginas web corporativas, redes sociales como LinkedIn, y otras plataformas para mapear la estructura organizativa de la empresa e identificar a los proveedores clave cuya identidad pueden suplantar y que tengan derechos de crédito pendientes de cobro presentes o futuros.
Con esta información, los estafadores utilizan técnicas hackers que permiten interceptar los correos electrónicos entre el proveedor suplantado y la empresa estafada, manipulándolos a su antojo, resultando correos electrónicos fraudulentos prácticamente idénticos a los intercambiados normalmente entre ambas empresas.
Los mensajes están cuidadosamente diseñados para generar confianza instando al empleado a efectuar una transferencia financiera o el pago de una factura que está pendiente cambiando el número de cuenta o IBAN al que normalmente se realizan los pagos con ese proveedor. Este cambio de IBAN puede producirse no sólo en el cuerpo de texto del correo electrónico, sino también en documentos adjuntos, como por ejemplo, una factura en formato PDF.
En caso de caer en la trampa, el empleado realiza la transferencia o el pago a una cuenta que no pertenece al proveedor, sino a los estafadores, creyendo estar cumpliendo una orden de pago habitual y que corresponde a una factura pendiente. El fraude normalmente se destapa cuando el auténtico proveedor reclama nuevamente el pago de la factura y la empresa estafada alega que ya se ha pagado. En ese momento, normalmente, los estafadores ya suelen haberse esfumado con el dinero.
Responsabilidad del banco en la estafa informática
En la mayoría de los casos, cuando se descubre que la empresa ha sido estafada, es imposible retroceder la órden de pago realizada porque el dinero ya ha salido de la cuenta bancaria de los estafadores. Sin perjuicio de la responsabilidad penal en que incurren los estafadores, ¿qué responsabilidad tienen los bancos en la estafa informática?
Lo cierto es que cuando se efectúa una orden de pago con una serie de elementos de carácter obligatorio, entre ellos, el IBAN de la cuenta de destino y un beneficiario, el banco que recibe estos fondos está obligado a entregar los mismos al beneficiario de la transferencia, incurriendo en responsabilidad si, como en el caso del Man in the Middle o el Fraude del CEO, entrega los fondos a un tercero.
Los elementos que componen una orden de pago no son aleatorios sino que los fija el Reglamento (UE) Nº 260/2012 por el que se establecen requisitos técnicos y empresariales para las transferencias y los adeudos domiciliados en euros. Así, una transferencia bancaria posee elementos obligatorios, sin los cuales no es posible realizar la orden de pago, y estos son: importe, cuenta de origen, cuenta de destino y beneficiario de los fondos.
Pero no solamente podría incurrir el banco en responsabilidad por haber entregado los fondos a una persona que no es el beneficiario de la transparencia, sino también porque ha permitido que una cuenta bancaria de su entidad haya sido utilizada para cometer estafas informáticas.
Es frecuente que las cuentas bancarias utilizadas por los estafadores hayan sido abiertas en bancos con un alto nivel de digitalización (OpenBank, ING Direct, BBVA, etc.) con suplantación de la identidad de otras personas que nada tienen que ver con la comisión del delito. Así, los estafadores, con carácter previo a la estafa, han realizado un robo de datos masivo de los cuales extraen los datos personales y sus documentos identificativos escaneados (DNI, NIE o Pasaporte) de personas aleatorias que luego utilizan para abrir, de forma online, cuentas bancarias a nombre de estas personas suplantando su identidad.
Los bancos tienen la obligación de identificar correctamente, en todo caso y de forma fehaciente, a sus clientes como intervinientes en el tráfico económico-bancario. Dicho de otra forma, si el banco ha cometido una negligencia en el proceso de la apertura de la cuenta bancaria que se ha utilizado para cometer la estafa y en la que han sido depositados por error los fondos, el banco debe responder de la estafa porque es quién ha permitido, de forma indirecta, que el perjuicio se haya producir.
A ello, habría que sumar también, la posible responsabilidad del banco por los incumplimientos que se hayan producido de la normativa de Prevención de Blanqueo de Capitales.
Cómo responder ante la estafa de fraude del CEO o Man in the Middle
Incluso con medidas de prevención, los estafadores pueden lograr infiltrarse. Una respuesta rápida y coordinada es esencial para reducir el daño y perseguir a los responsables. Siga estos pasos esenciales:
Confirmación del incidente
Ante cualquier sospecha, valide la autenticidad de la comunicación cuestionada directamente con el emisor, usando un canal alternativo y seguro.
Notificación Interna
Comunique el incidente al equipo de ciberseguridad, al área legal y a la dirección de la empresa para activar el protocolo de respuesta.
Cese de la comunicación
Detenga toda comunicación con el presunto estafador. Guarde los correos electrónicos recibidos como prueba, sin borrarlos o modificarlos.
Contención y análisis
Colabore con su equipo de tecnología para limitar el ataque. Esto puede incluir cambiar contraseñas y realizar un análisis forense para entender el alcance del incidente.
Notificación a las autoridades
Informe del incidente a las autoridades en España puede ser la Policía Nacional o Guardia Civil.
Contacto con entidades bancarias
Si se realizaron transferencias fraudulentas, informe inmediatamente a su banco para intentar revertir las operaciones.
Comunicación externa
Evalúe la necesidad de informar a clientes, socios y otras partes afectadas sobre el incidente y las acciones emprendidas.
Revisión
Tras resolver el incidente, revise y mejore sus protocolos de seguridad para reforzar las defensas contra futuros ataques.
Aspectos legales del fraude del CEO y el Man in the Middle
Tras denunciar el fraude ante las autoridades, es fundamental explorar todas las vías legales disponibles. Esto suele incluir procedimientos civiles contra los bancos para recuperar el dinero estafado y procedimientos penales dirigidos contra los responsables del fraude.
Para facilitar la investigación del fraude, las empresas tienen la obligación de cooperar con las autoridades. Esto implica proporcionar acceso a registros de comunicaciones, documentos financieros y cualquier otro material que pueda ser relevante para el caso.
En muchas jurisdicciones, y dependiendo del sector, existen regulaciones que exigen la notificación de estos incidentes a entidades regulatorias, especialmente cuando involucran la exposición de datos personales o financieros.
Conclusión
El fraude del CEO y el Man in the Middle es un desafío más que enfrentan las empresas en la actualidad digital y tecnológica. A través de técnicas de ingeniería social cada vez más sofisticadas, los estafadores buscan explotar cualquier vulnerabilidad.
Ante las últimas tácticas de los ciberdelincuentes, el asesoramiento legal especializado se convierte en un recurso clave. Expertos en ciberseguridad y fraude cibernético, desde nuestro despacho de abogados en Tenerife, proporcionamos una guía preventiva y el apoyo para gestionar acciones legales.