Son estafas con emails ciberdelito más costoso

RICHMOND, Virginia

Un frenesí de compras en Beverly Hills, unas vacaciones de lujo en México, una cuenta bancaria que pasó de 299,77 dólares a 1,4 millones de la noche a la mañana. Parecía como si Moe y Kateryna Abourched se hubieran ganado la lotería, pero esa riqueza súbita no vino de unos números con suerte.

En realidad, lo que pasó fue que un distrito escolar en Michigan fue engañado para que enviara sus pagos mensuales de seguro médico a la cuenta bancaria de un salón de manicura propiedad de los Abourched, de acuerdo con una orden de allanamiento presentada por un agente del Servicio Secreto en una corte federal.

La policía dice que el distrito escolar —y los contribuyentes— fueron víctimas de una estafa en línea conocida como Business Email Compromise (correo electrónico comercial expuesto a riesgos, o BEC, por sus siglas en inglés), un tipo de fraude en el que los delincuentes hackean cuentas de correo electrónico, se hacen pasar por otra persona o institución y engañan a las víctimas para que manden dinero a otro lugar.

La pareja dice ser inocente y no ha sido acusada aún de ningún delito.

Las estafas BEC reciben mucha menos atención que los masivos ataques con “ransomware” —en los que los hackers irrumpen en redes y codifican datos a cambio del pago de un rescate— que han provocado una fuerte respuesta del gobierno. Sin embargo, las estafas BEC han sido por amplio margen el tipo de ciberdelito más costoso en Estados Unidos durante años, de acuerdo con el FBI, al desviar miles de millones de dólares de la economía mientras las autoridades pasan trabajos para combatirlo.

Los enormes beneficios y bajos riesgos asociados con las estafas BEC han atraído a delincuentes en todo el mundo. Algunos incluso alardean de sus ganancias ilícitas en redes sociales, posando en fotos junto a autos lujosos como Ferraris, Bentleys y montones de dinero en efectivo.

“Los estafadores están extremadamente bien organizados y las agencias del orden no lo están”, admitió Sherry Williams, directora de una organización sin fines de lucro en San Francisco que fue engañada recientemente por una de esas estafas BEC.

Los estafadores están extremamente bien organizados y las agencias del orden no lo están.¨ Sherry Williams, Directora de una organización sin fines de lucro

PÉRDIDAS MILLONARIAS

Las pérdidas en Estados Unidos por estafas BEC en 2021 fueron de casi 2.400 millones de dólares, de acuerdo con un nuevo reporte del FBI. Es un incremento de 33% frente a 2020 y de más de 10 veces comparado con apenas hace siete años. Y los expertos dicen que muchas víctimas nunca presentan denuncias y que las cifras del FBI son apenas una pequeña fracción de total del dinero robado.

“Es una de las cosas más lucrativas”, aseguró Shalabh Mohan, ejecutivo de la firma de ciberseguridad Area 1 Security.

En el caso del salón de manicura en Grand Rapids, la policía dice que fueron robados 2,8 millones de dólares. Los bancos pudieron recuperar la mitad de la suma una vez que descubrieron la estafa, muestran documentos de la corte.

En una declaración jurada como parte de una solicitud de orden de allanamiento, un agente del Servicio Secreto dijo que alguien hackeó la cuenta de correo electrónico de uno de los empleados de recursos humanos del distrito escolar y envió mensajes electrónicos que persuadieron a un colega en el departamento de Finanzas para que cambiara la cuenta bancaria donde se enviaban los pagos del seguro médico.

Los mensajes electrónicos fueron breves y corteses. “Por favor, actualice” los registros, decía uno, usando palabras que la verdadera empleada de recursos humanos nunca usa, según le dijo ella a la policía posteriormente.

La policía rastreó el dinero a la cuenta bancaria del salón de manicura propiedad de los Abourched, dijo la declaración jurada. Una vez fue detectado el robo, Moe Abourched se puso en contacto con la policía de Gran Rapids y dijo que él había sido engañado por una mujer europea llamada “Dora” para que aceptara los fondos y los enviara a otras cuentas, de acuerdo con la declaración jurada.

El agente del Servicio Secreto dijo que la versión de Abourched es falsa y que había utilizado una treta similar con la policía después de recibir dinero de otra estafa BEC contra una compañía de almacenaje en Florida.

La policía puso a la pareja bajo vigilancia y en octubre allanó su apartamento, sus oficinas y su BMW, muestran los documentos en la corte. La policía dijo este año que necesitaba más tiempo para examinar los datos en los celulares y las computadoras de la pareja.

El abogado de los Abourched, Kevin Gres, dijo que sus representados no habían cometido ningún delito y que no debían presentarse cargos. “Mis clientes fueron víctimas involuntarias en esta trama”, aseguró.

Los delincuentes que usan estafas BEC recurren a varios métodos para hackear las cuentas legítimas de correo electrónico de negocios y engañar a los empleados para que hagan pagos electrónicos o hagan compras que no debían hacer. Los correos de “phishing” (que engañan a un usuario para que revele contraseñas y otros datos confidenciales) son un ataque común, pero los expertos dicen que los estafadores han adoptado rápidamente tecnologías nuevas, como el audio generado por inteligencia artificial para hacerse pasar por ejecutivos de una compañía y engañar a los subordinados para que envíen dinero.

Crane Hassold, un experto en estafas BEC y exanalista de ciberdelitos con el FBI, dice que ha sabido de fiscales federales negándose a aceptar casos de estafas BEC a menos que los robos hayan sido de millones de dólares, un límite mínimo que muestra lo fuera de control que está el asunto.

“Hay tantos casos que es imposible trabajarlos todos”, admitió Hassold, que ahora es director de inteligencia de amenazas en la firma Abnormal Security.

Casi cualquier empresa es vulnerable a las estafas BEC, desde compañías en la lista Fortune 500 hasta municipalidades pequeñas. Incluso el Departamento de Estado de Estados Unidos fue engañado para que enviara a los estafadores más de 200.000 dólares en subsidios planeados para ayudar granjeros en Túnez, muestran documentos en las cortes.

En años recientes, el Departamento de Justicia norteamericano ha lanzado operaciones de meses que han resultado en centenares de arrestos en todo el mundo.

“Nuestro mensaje a los delincuentes involucrados en esos tipos de tramas BEC seguirá siendo claro: la memoria del FBI y su alcance son largos y amplios, los perseguiremos sin descanso, no importa dónde estén”, advirtió Brian Turner, subdirector ejecutivo de la división de ciberdelitos del FBI.

Sin embargo, los expertos de seguridad dicen que la ola de arrestos tuvo poco impacto y las propias cifras del FBI muestran que las estafas BEC continúan creciendo a un ritmo acelerado.

“Usted puede arrestar a 100 de ellos y no hay efecto dominó”, dijo Hassold.

Muchos de los arrestados por las autoridades estadounidenses son “mulas de dinero” de nivel inferior, que mueven el dinero de un lado a otro en el sistema bancario hasta que queda fuera del alcance de las autoridades.

LAS ‘MULAS’ PARA ESTAFAS

Las “mulas” no necesitan saber cómo hackear y tienen antecedentes muy diversos. Un individuo en Florida, Alfredo Veloso, se declaró culpable en 2019 luego de que, informó la fiscalía, él reclutó a mujeres a las que conoció en su negocio de videos pornográficos para que fueran mulas de dinero para estafas BEC y otros ciberfraudes.

Las estafas BEC sofisticadas contra negocios y otras organizaciones comenzaron a despegar a mediados de la década de 2010. Fue entonces también que los ataques con “ransomware” comenzaron a aumentar en frecuencia y severidad.

Durante años, las estafas BEC y los ataques con “ransomware” fueron tratados mayormente como un problema de las agencias del orden. Sigue siendo así en el caso de las BEC, pero el “ransomware” es considerado ahora un asunto clave de seguridad nacional en Estados Unidos, luego de una serie de ataques contra infraestructura clave como el del año pasado contra el principal oleoducto del país, que causó escasez de gasolina en la costa este.

Los hackers contratados por la Agencia de Seguridad Nacional (NSA) han dado pasos para obstaculizar las redes de operadores de “ransomware”. El Departamento de Justicia estableció una fuerza especial para coordinar mejor la respuesta de las agencias del orden y el presidente Joe Biden ha hablado del asunto directamente con el presidente ruso Vladimir Putin, cuyo país es la base de muchos operadores de “ransomware”.

Nada cercano a eso ha sido desplegado contra los fraudes BEC, pese a las enormes pérdidas financieras.

“Es una serie de silos muy pequeños y ellos aún no han encontrado una manera de tener una fuente única contra esas cosas”, expresó John Wilson, un experto en amenazas de la firma de ciberseguridad Agari.

GANA BECA Y.. LA DEFRAUDAN CON 650 MD 

En el caso de Williams, la directora de la organización sin fines de lucro en San Francisco, los ladrones hackearon la cuenta de correo electrónico del contador de la compañía y a continuación se insertaron en un largo hilo de mensajes, enviando correos en los que pidieron cambiar las instrucciones de pago electrónico para alguien que ganó una beca y se robaron 650.000 dólares.

Cuando descubrió lo sucedido, Williams se puso en contacto con las agencias del orden, pero dice que sus gestiones no fueron a ninguna parte.

El FBI le dijo que la oficina local del fiscal federal no se encargaría del caso. Ella voló a Odessa, Texas, donde está el banco que recibió originalmente el dinero robado. El dinero para entonces había desaparecido y el detective local no podía hacer nada para ayudarla. Williams le pidió a senadores en Washington que intervinieran y se enteró más adelante que el Servicio Secreto estaba investigando, pero dijo que no ha recibido nueva información.