Historia real: cómo pagué una factura a un ciberdelincuente que entró en mi cuenta de correo
Es un viernes a última hora. El fin de semana está próximo y José Manuel tiene planes, se va a su segunda residencia en el sur. Se va a inflar a poner fotos en Instagram desayunando molletes y tomando vinos para ponerle los dientes largos a su jefe, que es su primo mayor. José Manuel es contable en un pequeño comercio familiar y está esperando un pedido de mercancía que repone mensualmente. Hace unos días que pagó la factura a su proveedor habitual, como suele hacer en cuanto le llega. Nunca ha tenido problemas.
Está un poco receloso, pues hace poco que cambió de proveedor, está contento con la mercancía y suele llegar a tiempo, pero esta última factura no le llegó tan rápido tras el pedido como de costumbre y, además, le comunicaban que habían cambiado de banco. Para colmo, aún no ha llegado la mercancía y su jefe lleva preguntándole desde el miércoles qué está pasando.
Para no demorarlo más decide llamar a Enrique, el proveedor:
José Manuel: Buenos días Enrique.
Enrique: Hola José Manuel, ¿qué tal estás?
José Manuel: Por aquí ando. Esperaba el pedido esta semana, imagino que algo os ha pasado.
Enrique: ¡Qué va! Todo está saliendo en su fecha. En tu caso, espera que compruebe. Ah, ya lo veo, aún no he recibido el ingreso.
José Manuel acuerda con Enrique pasarle el comprobante por correo electrónico. Al rato recibe una llamada de este:
Enrique: Oye, José Manuel, en ese comprobante que me envías no coincide la cuenta de facturación.
José Manuel: ¿Cómo dices? Tengo un mensaje tuyo en el me indicas que habéis cambiado de banco.
Enrique: ¡Qué va! Tiene que ser un error. Voy a ver mi bandeja de salida. Aquí está, en el mensaje que te envié con la factura no pone nada de un cambio de cuenta.
José Manuel se disculpa con Enrique y se dispone a investigar qué ha pasado y a contárselo a su jefe. Antes se arma de valor y recordando lo que decía Homer Simpson: “normalmente no rezo, pero si estás ahí, por favor, sálvame Superman”.
Afortunadamente, no fue tan grave, sus peticiones tuvieron respuesta. Su primo se acuerda de que en la tele o Twitter ha oído hablar del 017 de INCIBE, así que le dice: “llama al 017, a ver si te ayudan a averiguar qué ha podido pasar y cómo arreglarlo”.
¿Qué ha podido pasar?
El amable técnico al otro lado de la Línea de Ayuda en Ciberseguridad le dice que ha sido víctima de un fraude BEC (Business Email Compromise) o compromiso del email corporativo.
Esta es solo una forma de este fraude. Por eso, le indica que toda la información que le proporciona está mucho más ampliada en el nuevo apartado de Protege tu empresa “Fraude email comprometido”.
Con la ayuda del 017, José Manuel se fija en que el mensaje que recibió procede de facturacion @ proovedor.com; es decir, que no se lo ha enviado Enrique, ha sido un ciberdelincuente que está suplantando a su proveedor. Ha cambiado una letra en el dominio y tiene dos “o” en lugar de dos “e”. ¡Como para darse cuenta!
Ahora ya sabe que no ha sido Enrique y, por tanto, que la factura no es la original. En esta factura han cambiado la cuenta de ingreso, pero la factura parecía la misma e incluso en el mensaje se expresa como Enrique. Nada más le hizo sospechar. ¿Cómo ha podido ser? ¿Dónde está el mensaje verdadero que sí le envió Enrique?
El técnico del 017 de INCIBE le ayuda a ver que un ciberdelincuente ha conseguido entrar en su cuenta de correo. Entre otras cosas, le pregunta si usa una contraseña única para entrar al correo corporativo. José Manuel confiesa que usa la misma para todo, como todo el mundo, pero que la tiene a buen recaudo.
No se lo dice por vergüenza, pero es la misma que usa para sus temas personales: la de Instagram, Twitter y plataformas para ver las series que tanto le gustan. El técnico le indica cómo comprobar si su contraseña está en alguna filtración de datos en Have I Been Pwned y, efectivamente, aparece en una filtración reciente. Además, la han conseguido descifrar, vaya, que la saben todos los ciberdelincuentes. José Manuel no sabe dónde meterse. La ha liado y gorda.
El técnico le dirige a las opciones de su cliente de correo, Outlook, para llegar adonde se configuran las reglas.
Juntos descubren una regla que ha debido crear el ciberdelincuente, pues desvía todos los correos que llegan del proveedor a un buzón externo y, además, los quita de la bandeja de entrada. ¡Menudo pájaro!
Así que José Manuel se da cuenta de que lleva un tiempo espiando toda su correspondencia y sabe todo sobre su empresa y operaciones comerciales. De esta forma, cuando llegó una factura, la editó para cambiar la cuenta y se la envió desde un correo que suplanta al de su proveedor, cambiando ligeramente el texto del mensaje de Enrique para que no se diera cuenta.
¿Cómo arreglarlo?
El cordial técnico del 017 de INCIBE le indica que se ponga en contacto a la mayor brevedad con su banco para revertir la transferencia, si aún está a tiempo. Afortunadamente, tras una llamada de su jefe, sí han podido hacerlo, con lo que José Manuel ha sentido un gran alivio.
Asimismo, le proporciona el email de indencias @ incibe-cert.es para que envíe el email fraudulento con las cabeceras e investigar el incidente y después le indica cómo debe sacar las evidencias necesarias para denunciar el caso. Además, le dice que notifique la brecha de seguridad a la AEPD, pues puede haber habido una fuga de datos personales.
José Manuel cambia la contraseña por una robusta, activa el doble factor de autenticación y borra la regla que creó el ciberdelincuente. ¡Esto no le vuelve a pasar!
Para finalizar, se le dan una serie de pautas para aprender a identificar la legitimidad de los correos electrónicos y le remiten al catálogo de ciberseguridad para que contacte con una empresa si necesitara ayuda técnica.
Recuerda que como José Manuel puedes contactar con nosotros a través del servicio Tu Ayuda en Ciberseguridad de INCIBE: la Línea de Ayuda 017, los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto para empresas, que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.
