Ciberdelito más costoso

RICHMOND, Tx.

En realidad, lo que pasó fue que un distrito escolar en Michigan fue engañado para que enviara sus pagos mensuales de seguro médico a la cuenta bancaria de un salón de manicura propiedad de los Abourched, de acuerdo con una orden de allanamiento presentada por un agente del Servicio Secreto en una corte federal.

La policía dice que el distrito escolar —y los contribuyentes— fueron víctimas de una estafa en línea conocida como Business Email Compromise (correo electrónico comercial expuesto a riesgos, o BEC, por sus siglas en inglés), un tipo de fraude en el que los delincuentes hackean cuentas de correo electrónico, se hacen pasar por otra persona o institución y engañan a las víctimas para que manden dinero a otro lugar.

La pareja dice ser inocente y no ha sido acusada aún de ningún delito.

Las estafas BEC reciben mucha menos atención que los masivos ataques con “ransomware” —en los que los hackers irrumpen en redes y codifican datos a cambio del pago de un rescate— que han provocado una fuerte respuesta del gobierno.

Sin embargo, las estafas BEC han sido por amplio margen el tipo de ciberdelito más costoso en Estados Unidos durante años, de acuerdo con el FBI, al desviar miles de millones de dólares de la economía mientras las autoridades pasan trabajos para combatirlo.

Los enormes beneficios y bajos riesgos asociados con las estafas BEC han atraído a delincuentes en todo el mundo. Algunos incluso alardean de sus ganancias ilícitas en redes sociales, posando en fotos junto a autos lujosos como Ferraris, Bentleys y montones de dinero en efectivo.

BIEN ORGANIZADOS

“Los estafadores están extremamente bien organizados y las agencias del orden no lo están”, admitió Sherry Williams, directora de una organización sin fines de lucro en San Francisco que fue engañada recientemente por una de esas estafas BEC.

Las pérdidas en Estados Unidos por estafas BEC en 2021 fueron de casi 2.400 millones de dólares, de acuerdo con un nuevo reporte del FBI. Es un incremento de 33% frente a 2020 y de más de 10 veces comparado con apenas hace siete años. Y los expertos dicen que muchas víctimas nunca presentan denuncias y que las cifras del FBI son apenas una pequeña fracción de total del dinero robado.

“Es una de las cosas más lucrativas”, aseguró Shalabh Mohan, ejecutivo de la firma de ciberseguridad Area 1 Security.

RECUPERACIÓN

En el caso del salón de manicura en Grand Rapids, la policía dice que fueron robados 2,8 millones de dólares. Los bancos pudieron recuperar la mitad de la suma una vez que descubrieron la estafa, muestran documentos de la corte.

En una declaración jurada como parte de una solicitud de orden de allanamiento, un agente del Servicio Secreto dijo que alguien hackeó la cuenta de correo electrónico de uno de los empleados de recursos humanos del distrito escolar y envió mensajes electrónicos que persuadieron a un colega en el departamento de Finanzas para que cambiara la cuenta bancaria donde se enviaban los pagos del seguro médico.

Los mensajes electrónicos fueron breves y corteses. “Por favor, actualice” los registros, decía uno, usando palabras que la verdadera empleada de recursos humanos nunca usa, según le dijo ella a la policía posteriormente.

La policía rastreó el dinero a la cuenta bancaria del salón de manicura propiedad de los Abourched, dijo la declaración jurada. Una vez fue detectado el robo, Moe Abourched se puso en contacto con la policía de Gran Rapids y dijo que él había sido engañado por una mujer europea llamada “Dora” para que aceptara los fondos y los enviará a otras cuentas, de acuerdo con la declaración jurada.

El agente del Servicio Secreto dijo que la versión de Abourched es falsa y que había utilizado una treta similar con la policía después de recibir dinero de otra estafa BEC contra una compañía de almacenaje en Florida.

La policía puso a la pareja bajo vigilancia y en octubre allanó su apartamento, sus oficinas y su BMW, muestran los documentos en la corte. La policía dijo este año que necesitaba más tiempo para examinar los datos en los celulares y las computadoras de la pareja.

El abogado de los Abourched, Kevin Gres, dijo que sus representados no habían cometido ningún delito y que no debían presentarse cargos. “Mis clientes fueron víctimas involuntarias en esta trama”, aseguró.

CUENTAS LEGÍTIMAS

Los delincuentes que usan estafas BEC recurren a varios métodos para hackear las cuentas legítimas de correo electrónico de negocios y engañar a los empleados para que hagan pagos electrónicos o hagan compras que no debían hacer. Los correos de “phishing” (que engañan a un usuario para que revele contraseñas y otros datos confidenciales) son un ataque común, pero los expertos dicen que los estafadores han adoptado rápidamente tecnologías nuevas, como el audio generado por inteligencia artificial para hacerse pasar por ejecutivos de una compañía y engañar a los subordinados para que envíen dinero.

En el caso de Williams, la directora de la organización sin fines de lucro en San Francisco, los ladrones hackearon la cuenta de correo electrónico del contador de la compañía y a continuación se insertaron en un largo hilo de mensajes, enviando correos en los que pidieron cambiar las instrucciones de pago electrónico para alguien que ganó una beca y se robaron 650.000 dólares.

Cuando descubrió lo sucedido, Williams se puso en contacto con las agencias del orden, pero dice que sus gestiones no fueron a ninguna parte.

El FBI le dijo que la oficina local del fiscal federal no se encargaría del caso. Ella voló a Odessa, Texas, donde está el banco que recibió originalmente el dinero robado. El dinero para entonces había desaparecido y el detective local no podía hacer nada para ayudarla. Williams le pidió a senadores en Washington que intervinieran y se enteró más adelante que el Servicio Secreto estaba investigando, pero dijo que no ha recibido nueva información.

Crane Hassold, un experto en estafas BEC y exanalista de ciberdelitos con el FBI, dice que ha sabido de fiscales federales negándose a aceptar casos de estafas BEC a menos que los robos hayan sido de millones de dólares, un límite mínimo que muestra lo fuera de control que está el asunto.

“Hay tantos casos que es imposible trabajarlos todos”, admitió Hassold, que ahora es director de inteligencia de amenazas en la firma Abnormal Security.

VULNERABILIDAD

- Casi cualquier empresa es vulnerable a las estafas BEC, desde compañías en la lista Fortune 500 hasta municipalidades pequeñas. Incluso el Departamento de Estado de Estados Unidos fue engañado para que enviara a los estafadores más de 200.000 dólares en subsidios planeados para ayudar granjeros en Túnez, muestran documentos en las cortes.

- En años recientes, el Departamento de Justicia norteamericano ha lanzado operaciones de meses que han resultado en centenares de arrestos en todo el mundo.

- “Nuestro mensaje a los delincuentes involucrados en esos tipos de tramas BEC seguirá siendo claro: la memoria del FBI y su alcance son largos y amplios, los perseguiremos sin descanso, no importa dónde estén”, advirtió Brian Turner, subdirector ejecutivo de la división de ciberdelitos del FBI.