Man in the middle: claves para evitar la estafa de moda

«¿Recuperar el dinero? Es complicadísimo pero en ocasiones se consigue», confiesa uno de los especialistas que trabajan en la resolución de este tipo de casos.

Por fortuna, hay operaciones en las que logran rescatar los fondos. Pero cuando la policía habla de 'crime as a service' lo que pretende transmitir es que casi nunca es posible desmontar al completo la red. «Cada miembro está especializado en una tarea: uno intercepta correos electrónicos, otro estudia los mensajes, otro falsifica las facturas, otro facilita la cuenta en la que acabará el dinero... Y en muchas ocasiones ni siquiera se conocen entre ellos. Si a eso unimos que suelen residir en países distintos, la madeja se lía un poco más».

Lo sucedido en Mérida ha puesto de actualidad la gravedad del delito 'man in the middle'. En este caso la cantidad defraudada supera los 50.000 euros, cifras parecidas a las denunciadas por otras empresas con sede en la región.

En todos los casos el patrón es común: un grupo de delincuentes intercepta las comunicaciones de una empresa y después de analizarlas durante un tiempo interfiere en un pago para que el dinero acabe en sus manos.

¿Pero cómo lo consiguen? Esa es la pregunta que se sigue haciendo el empresario de Talavera la Real al que una discoteca de Málaga le transfirió 5.505,50 euros que casi terminan en manos de una red de estafadores.

En su caso pudo impedirlo porque se percató de que el justificante de pago que le envió la discoteca cuando ordenó la transferencia incluía un número de cuenta que no se correspondía con la suya. Eso le permitió avisar al pagador, que contactó rápidamente con el banco para que se paralizara la operación, cuyo pago debía realizarse dos días después de ser ordenada. ¿Pero qué hubiese sucedido si el empresario extremeño no se hubiese percatado del cambio?

De las consecuencias pueden hablar con fundamento varias empresas extremeñas. Entre ellas hay bodegas, firmas de alimentación, cooperativas dedicadas a la carne, una hortofrutícola, empresas fotovoltaicas...

Tanto la Jefatura Superior de Policía de Extremadura como la Guardia Civil son conscientes del riesgo y ante este tipo de situaciones tratan de hacer llegar a los empresarios mensajes claros.

Uno de ellos hace referencia a la necesidad de fijarse en el correo electrónico desde el que han sido enviadas las facturas porque una vez que se apoderan del servidor de una empresa, tienen capacidad de borrar de la bandeja de entrada el correo electrónico con la factura remitida por la empresa que realmente existe y hacer llegar casi de inmediato otro correo similar remitido desde una dirección casi idéntica (por ejemplo cambian una i por una l) con una factura idéntica en la que ha sido borrado el número de cuenta en el que se debe hacer el pago para sustituirlo por el de la cuenta de los estafadores.

Desde la Policía Nacional se indica que otra forma de evitar esa manipulación es enviar los documentos con firma digital, puesto que eso impide modificar el archivo. «Y por supuesto sospechar cuando nos indican que debemos hacer el ingreso en una cuenta distinta a la habitual, en ese caso es conveniente contactar directamente con alguien que conozcamos en la empresa».

Tanto la Jefatura Superior de Policía de Extremadura como la Comandancia de la Guardia Civil de Badajoz coinciden en que este tipo de fraudes no son frecuentes, pero no ocultan que cuando la estafa se produce suele alcanzar los 30.000, 40.000 e incluso los 80.000 euros.

Otra precaución pasa por instalar antivirus, también en los teléfonos móviles dado que guardan las claves bancarias. «Muchas veces los correos electrónicos son interceptados por un virus... Los piratas no han hecho una aplicación de fútbol o de porno para facilitar esos contenidos de forma gratuita, por ahí pueden entrar los virus», advierten.

Pero 'man in the middle' no es el modus operandi más frecuente cuando se trata de engañar a una empresa. Resulta más habitual la estafa del CEO, cuya elaboración requiere menos preparación. En este caso alguien llama a una empresa preguntado por una persona concreta para indicarle que en ese momento está junto a su jefe, pero que no puede hablar, y que es urgente que se realice un pago, por ejemplo a Hacienda, para evitar una sanción. Además, el estafador da indicaciones muy concretas sobre la forma en la que debe ser realizado el pago –entre 1.000 y 4.000 euros– utilizando datos creíbles que ha recabado previamente.

En esa situación, el trabajador que recibe la llamada telefonea a su jefe para asegurarse de que es cierto lo que le han contado. Pero el teléfono comunica de forma insistente porque los estafadores se encargan de que su línea esté ocupada. En otras ocasiones le han hecho previamente un duplicado de la tarjeta SIM para dejarlo fuera de servicio en el momento adecuado.

Con ese engaño consiguen que la persona con la que han contactado les envíe el dinero, normalmente a través de un cajero de criptomonedas al que deben dirigirse de forma rápida para ingresar los billetes.

Alertan los investigadores de que esas cuentas suelen estar asociadas a personas que retiran dinero en el extranjero. Identificar al titular no es complicado, pero normalmente se trata de personas insolventes que han recibido 20 o 30 euros por abrir una cuenta a su nombre y pasar las claves a los estafadores. «Aquí el que se hace rico es el que está al final y en muchas ocasiones es imposible identificarlo».

Esa es la razón por la que los especialistas en ciberdelincuencia de la Policía Nacional y de la Guardia Civil no se cansan de insistir en la necesidad de estar siempre alerta. «Las prisas nunca son buenas a la hora de hacer pagos, antes de transferir dinero hay que asegurarse de que el dinero va a llegar a su destinatario».

«Hay ordenadores y teléfonos infectados para aburrir, pero a lo mejor todavía no le ha tocado a esa personas», concluye Francisco Mendiola, responsable de prensa de la Jefatura Superior de Policía de Extremadura.