En los últimos meses, un tipo de ciberataque ha perjudicado a muchas empresas en el mercado local. Consiste en la suplantación de correos electrónicos, sean de usuarios o clientes de la propia empresa. 

Mecanismo del ciberdelito

El engaño no es nuevo. Se informa a la víctima de una supuesta variación en las cuentas bancarias donde tiene que abonar un pago. El suplantador  contacta al correo electrónico recurrente del pagador e informa que, por diversos motivos, las cuentas han cambiado y brinda los detalles de las nuevas cuentas bancarias, que suelen ubicarse en el extranjero, sorprendentemente con mayor recurrencia en Estados Unidos. 

La dirección de correo usada para el engaño suele ser muy similar al de la empresa acreedora, aunque casi siempre incluye alguna letra distinta en el dominio. En el peor de los casos, el engaño también puede provenir del correo electrónico real, al que se ha accedido mediante programas que logran administrarlo. 

Debido a esta similitud, el deudor ejecuta la orden y realiza el pago en la cuenta equivocada. Acto seguido, como es de esperarse, el dinero es retirado en la cuenta del extranjero y el verdadero acreedor sólo se entera del evento cuando es informado por su pagador.

Acciones recomendadas

Cuando se trata de pagos hechos por empresas peruanas a cuentas falsas en el extranjero, en la práctica se evidencia que la respuesta de los bancos locales no es rápida. Existen limitados canales de contacto con el banco corresponsal en el extranjero y, muchas veces, la solicitud del llenado de formularios correspondientes, en espera de respuestas, hace que la ejecución ocurra mucho después  que el dinero ya ha sido retirado.

Frente a este problema, las empresas pueden considerar  las siguientes medidas preventivas, entre otras más específicas, para reducir los riesgos y tener mejores opciones en caso de reclamo :

Informar a todos los pagadores el detalle de sus cuentas bancarias y aclararles que cualquier variación en los datos deberá ser corroborada mediante una comunicación del representante legal de la sociedad con firma legalizada en notaría. Aunque parezca una opción de usos tradicionales, cuando las herramientas digitales se han visto comprometidas, se sugiere valerse también de mecanismos fuera de línea,  hasta que se haya determinado y corregido la vulneración.

Incluir en los contratos comerciales el detalle de las cuentas bancarias que recibirán los pagos y establecer que cualquier modificación deberá realizarse siguiendo las mismas formalidades que en la celebración del contrato. De esta forma, si el cambio se realiza por medio de una comunicación simple, la parte que no reciba el pago podrá demostrar el incumplimiento.

Verificar el alcance de las pólizas de seguro de las empresas para corroborar que estos supuestos estén incluidos dentro de los siniestros cubiertos a fin de cumplir con todas las formalidades requeridas, en caso ocurran estos eventos. En muchos casos, el cumplimiento incluye la presentación de la denuncia  contra los que resultaran culpables.

Capacitar al personal sobre el uso del correo electrónico corporativo para que no abran enlaces sospechosos, y fomentar que verifiquen de forma constante los dominios de sus interlocutores y, en general, en materia de ciberseguridad, a fin de crear protocolos con pasos inmediatos a seguir en caso de dudas o vulneraciones. 

Realizar auditorías de seguridad periódicas y simulacros de ciberataques para evaluar la preparación del personal, y así ayudar a identificar vulnerabilidades y fomentar una cultura de prevención.

El incremento de estas acciones delictivas invita a las empresas a desarrollar mecanismos de defensa, con base en sistemas de seguridad que integren controles actualizados y mecanismos tradicionales de verificación y seguridad. ¿Qué medidas has aplicado en tu organización? Cuéntanos tu experiencia.

Si quieres aprender más sobre este tema participa en los programas que ESAN Business Law tiene para ti.