Dos detenidos por secuestrar el mail de un empresario de Burgos y estafarle 55.000 euros

Ambos, en connivencia, utilizaron el método 'Man in the Middle' en su versión BEC (Business Email Compromise) para secuestrar un email, suplantar la identidad de la empresa emisora y cambiar el número de cuenta obrante en una factura, obteniendo fraudulentamente el dinero transferido.

El suceso ocurrió en diciembre del pasado año cuando una empresa contrató los servicios de otra compañía por cuyo trabajo se emitió una factura por importe de 55.272 euros, documento que envió por correo electrónico para su abono. La parte contratante recibió el email –que ya había sido manipulado y por tanto era fraudulento- con la factura y transfirió la cantidad solicitada al número de cuenta que figuraba plasmado.

Al momento, recibió un segundo correo electrónico de la misma compañía aportando idéntica factura, pero esta vez variaba el número de cuenta reseñado; en esta ocasión la víctima no ingresó ningún dinero y contrastó con la parte contraria la duplicidad del envío.

Ambos empresarios se dieron cuenta entonces de que todo había sido un fraude, ya que los números de cuenta no correspondían con el real de la empresa contratada que, por otra parte, no había recibido cantidad alguna.

Una vez presentada la consiguiente denuncia, la Guardia Civil inició una complicada investigación y se verificó que todo había sido un engaño; la rápida y eficaz respuesta de los investigadores, que se centraron desde el primer instante en el seguimiento y trazabilidad del dinero enviado, permitió localizarle, pero ya en una segunda cuenta a la que había sido transferido, con la intención de dificultar su seguimiento. A la vez bloquearon policialmente ésta y consiguieron recuperar todo el dinero entregado.

Se comprobó que la sociedad emisora había enviado un único email y adjuntado una sola factura; también se comprobó que el número de cuenta de esta empresa no coincidía con ninguno de los obrantes en sendos correos electrónicos fraudulentos recibidos por la víctima. Ambas partes cayeron en la trampa: una empresa había sido suplantada y la otra estafada.

El estudio y análisis de la 'huella digital' dejado por los autores, que actuaron en connivencia, ha permitido su identificación y localización, por lo que han sido detenidos en Valladolid y Madrid.

La investigación ha corrido a cargo del Equipo '@' de la Comandancia de Burgos, que han instruido diligencias entregadas los Juzgados de la capital.

Los ahora detenidos habían captado el email auténtico, suplantado la identidad de la empresa y cambiado el número de cuenta bancaria que figuraba en la factura original, siendo sustituido éste por los fraudulentos incorporados por los autores, con la intención de beneficiarse del dinero.

Además, reiteraron la factura con el propósito de obtener un lucro ilegal doble, aunque no lo consiguieron.

Un ataque por el método conocido como 'Man in the Middle' (MITM) se produce cuando un hacker interviene en la transmisión de datos entre dos partes que realizan una comunicación electrónica. Éste se hace pasar por una de ellas o por las dos, 'secuestra' la información, la manipula y hace creer de esta forma a los implicados que se están mensajeando entre ellos.

Las características de estas acciones es que se realiza sobre la transmisión de tráfico o datos entre dos partes, ya sean dos usuarios o un usuario y un prestador de servicios. Cuando se desarrolla entre empresas se denomina BEC (Business Email Compromise).

El atacante actúa como intermediario en la comunicación, suplanta la identidad de una o de ambas partes, de forma que los datos siempre pasan por él antes de ser reenviados al contrario. Aunque el contenido viaje cifrado el ciberdelincuente lo descifra, manipula y transmite de nuevo al destinatario; usuario y prestador de servicios son ajenos al ataque y al engaño.

Para este tipo de conductas relativas a las estafas nuestro Código Penal contempla penas que aplicadas en su grado máximo pueden suponer multa de tres meses y prisión de tres años, que no obstante pueden verse agravadas si concurren otras circunstancias o el concurso de otros hechos delictivos.