Hoy en día, empresas de diversos sectores dependen en gran medida de la comunicación por correo electrónico y las transacciones online para sus operaciones empresariales. Sin embargo, por muy eficiente que sea esta forma de hacer negocios, también abre la puerta a amenazas de ciberseguridad, como el correo electrónico y el fraude electrónico.
El equipo de gestión de respuesta a incidentes de Perseus está observando un aumento en los casos de fraude por correo electrónico en la industria del automóvil. Los empleados de concesionarios de coches se vieron afectados. Creyendo que estaban en contacto con empresas de confianza que ofrecían a los concesionarios la posibilidad de comprar vehículos baratos para revenderlos, los afectados se correspondieron con actores malintencionados en lugar de vendedores legítimos y cayeron víctimas de intentos de engaño con grandes pérdidas financieras.
Este artículo analiza la naturaleza sofisticada de estas estafas y saca conclusiones sobre cómo asegurar negocios relevantes en distintos sectores que afecten a todos por igual.
Todo empezó aparentemente de forma inofensiva: empleados de concesionarios recibían correos electrónicos rutinarios de una conocida empresa de alquiler que ofrecía coches a la venta a concesionarios a precios bajos, en algunos casos incluso con descuentos generosos. Esta es una práctica común en la industria del automóvil. Los empleados confiaron en la legalidad de los correos, se comunicaron con los remitentes y finalmente recibieron ofertas definitivas para comprar los vehículos.
En el transcurso posterior de la correspondencia, todo transcurrió según los procesos empresariales habituales. Los empleados recibían correos electrónicos y documentos de aspecto auténtico, incluidas facturas en el diseño del alquiler del coche. Toda la información en los correos coincidía con los datos originales de la empresa de alquiler de coches, salvo por un dominio ligeramente modificado.
Creyendo en la autenticidad de la comunicación, los empleados realizaron las transacciones y pagaron grandes cantidades por los vehículos según las instrucciones. Sin embargo, con el tiempo surgieron dudas entre los empleados. A pesar de los pagos, no recibieron certificados de matrícula de los vehículos, que normalmente se entregan inmediatamente después de la compra. Preocupados, contactaron con el supuesto vendedor, la empresa de alquiler de coches, solo para descubrir que no había registros de la transacción. Los concesionarios de coches habían caído en una estafa.
Al examinarlo más de cerca, resultó que la comunicación provenía de un atacante que había configurado un dominio y una dirección de correo electrónico engañosos que imitaban los de la empresa legítima. Lo que inicialmente parecía una transacción comercial legítima resultó ser un caso sofisticado de fraude por correo electrónico y electrónica. Se pretendía vender vehículos a partir de las acciones de la empresa de alquiler a un precio significativamente más bajo. Especialmente peligroso: los vehículos prometidos por los delincuentes estaban en realidad listados a la venta online por la empresa de alquiler.
En este caso, sin embargo, las personas objetivo solo se comunicaron con terceros a través de un dominio de terceros creado para el fraude. Los atacantes redactaron cuidadosamente los correos electrónicos y documentos e imitaron el estilo y la imagen de la empresa de alquiler de coches, haciendo casi imposible que los empleados reconocieran la naturaleza fraudulenta de la comunicación.
Los actores maliciosos también falsificaron facturas convincentes con datos bancarios para el pago. Solo a través de los datos bancarios se pudo notar que el titular de la cuenta era un tercero. Aquí también, los estafadores podrían haber dado otro nombre, ya que los bancos solo han comprobado el IBAN durante años.
Los atacantes aprovecharon la práctica comercial común de comprar vehículos por correo electrónico y aprovecharon la familiaridad del proceso para llevar a cabo con éxito su intento de fraude.
La investigación forense del Equipo de Respuesta a Incidentes de Perseus reveló que el incidente fue un tipo de estafa por correo electrónico y transferencia bancaria que actualmente tiene como objetivo a varios concesionarios de coches. Algunos de los correos en cuestión no estaban dirigidos específicamente a las empresas, sino a varios destinatarios al mismo tiempo. Esto se conoce como «destinatarios no revelados». Este método se utiliza para disfrazar a los destinatarios reales del correo.
Tras un examen exhaustivo del documento de factura recibido, el análisis forense no reveló más información sobre la identidad del autor. La factura estaba etiquetada como «Microsoft Word para M365». Esto parece atípico para este proceso.
Investigaciones posteriores revelaron que el dominio de Internet registrado por el atacante también había sido eliminado en el momento de la comprobación, presumiblemente por instigación de la empresa o del proveedor del dominio. El equipo de expertos de Perseus no pudo acceder a los datos del registrado debido a la normativa GDPR.
El incidente pone de manifiesto la vulnerabilidad de las empresas ante el fraude por correo electrónico y electrónica, y pone de manifiesto la necesidad de reforzar las medidas de seguridad y de vigilar más estrictamente las comunicaciones por correo electrónico. El equipo de expertos de Perseus recomendó que los concesionarios afectados presentaran cargos penales para poder emprender acciones legales adicionales contra el responsable. Un punto de contacto adecuado es el «Punto Central de Contacto para el Crimen Informático». Es una agencia especializada con experiencia en el manejo de casos de ciberdelitos.
Además, se aconsejó al cliente que sensibilice específicamente sobre las amenazas cibernéticas entre sus empleados, específicamente sobre cómo identificar y mitigar los riesgos asociados al fraude por correo electrónico y financiero.
También se aconsejó encarecidamente al titular de la póliza revisar el proceso de compra y la transacción comercial. Se deben establecer pasos adicionales de verificación, como la confirmación telefónica directamente con la empresa matriz del vendedor, para confirmar la legitimidad de las transacciones y evitar incidentes similares en el futuro. En particular, el IBAN debe ser verificado para descubrir fácilmente fraudes.
Al tomar medidas activas como informar del incidente, invertir en la formación de empleados y agilizar el proceso de compra, las empresas pueden reforzar su protección contra el fraude por correo electrónico y electrónica.
El escenario actual no se limita en absoluto a la industria del automóvil. Tácticas similares podrían emplearse en diferentes industrias con procesos de compra parecidos. Industrias como la inmobiliaria, la manufactura y la mayorista suelen procesar transacciones por correo electrónico o transferencia bancaria. Las técnicas fraudulentas utilizadas en este caso sirven como advertencia para las empresas de todos los sectores vulnerables a actividades fraudulentas.
