Cuentas pendientes de pago: La estafa por correo electrónico es el tipo de ciberdelito más costoso

Pero este gran día de pago no vino de los números de la suerte. Más bien, un distrito escolar público de Michigan fue engañado para transferir su pago mensual del seguro de salud a la cuenta bancaria de un salón de uñas de California que poseían los Abourcheds, según una solicitud de orden de registro presentada por un agente del Servicio Secreto en un tribunal federal.

El distrito – y los contribuyentes – fueron víctimas de una estafa en línea llamada Business Email Compromise, o BEC para abreviar, dice la policía. La pareja niega haber actuado mal y no ha sido acusada de ningún delito.

Las estafas BEC son un tipo de delito en el que los delincuentes piratean las cuentas de correo electrónico, se hacen pasar por alguien que no es y engañan a las víctimas para que envíen dinero donde no corresponde. Estos delitos reciben mucha menos atención que los ataques masivos de ransomware que han desencadenado una potente respuesta gubernamental, pero las estafas BEC han sido, con mucho, el tipo de ciberdelito más costoso en Estados Unidos durante años, según el FBI, desviando miles de millones de la economía mientras las autoridades luchan por mantenerse al día.

Las enormes ganancias y los bajos riesgos asociados a las estafas BEC han atraído a delincuentes de todo el mundo. Algunos alardean de sus riquezas mal habidas en las redes sociales, posando en fotos junto a Ferraris, Bentleys y montones de dinero.

“Los estafadores están muy bien organizados y las fuerzas del orden no lo están”, afirma Sherry Williams, directora de una organización sin ánimo de lucro de San Francisco que recientemente sufrió una estafa BEC.

Las pérdidas en Estados Unidos por estafas BEC en 2021 fueron de casi 2.400 millones de dólares, según un nuevo informe del FBI. Esto supone un aumento del 33% con respecto a 2020 y un incremento de más de diez veces con respecto a hace solo siete años.

Y los expertos dicen que muchas víctimas nunca se presentan y que las cifras del FBI solo muestran una pequeña fracción de cuánto dinero se roba.

“Es una de las cosas más lucrativas que existen”, dijo Shalabh Mohan, jefe de producto de Area 1 Security.

En el caso del salón de uñas de Grand Rapids, la policía dice que se robaron 2,8 millones de dólares. Los bancos pudieron recuperar aproximadamente la mitad de esa cantidad una vez que se descubrió la estafa, según muestran los registros judiciales.

Un agente del Servicio Secreto dijo en una declaración jurada como parte de una solicitud de orden de registro que alguien hackeó la cuenta de correo electrónico de uno de los empleados de recursos humanos del distrito escolar y envió correos electrónicos que persuadieron a un colega en el departamento de finanzas para cambiar la cuenta bancaria donde se enviaban los pagos del seguro de salud.

Los correos electrónicos eran breves e indefectiblemente amables. “Por favor, tenga la amabilidad de actualizar” los registros, decía uno de ellos – palabras que la verdadera empleada de RRHH diría más tarde a la policía que nunca utiliza, según la declaración jurada.

La policía rastreó el dinero hasta la cuenta bancaria del salón, propiedad de los Abourcheds, dice la declaración jurada. Tras detectar el robo, Moe Abourched se puso en contacto con un detective de la policía de Grand Rapids y dijo que había sido engañado por una mujer europea llamada “Dora” para que aceptara los fondos y los enviara a otras cuentas, según la declaración jurada.

El agente del Servicio Secreto dijo que las afirmaciones de Abourched eran falsas y que había utilizado un ardid similar con la policía después de recibir dinero de una estafa BEC dirigida a una empresa de almacenamiento de Florida.

La policía puso a la pareja bajo vigilancia y en octubre registró su apartamento, sus oficinas y su BMW, según consta en los registros judiciales. La policía dijo a principios de este año que necesitaba más tiempo para examinar los datos de los teléfonos y ordenadores de la pareja.

El abogado de los Abourcheds, Kevin Gres, dijo que sus clientes no habían hecho nada malo y que no se debían presentar cargos.

“Mis clientes fueron víctimas involuntarias en este esquema”, dijo.

Los estafadores de BEC utilizan una variedad de técnicas para hackear cuentas de correo electrónico de empresas legítimas y engañar a los empleados para que envíen pagos por cable o realicen compras que no deberían. Los correos electrónicos de phishing dirigidos son un tipo de ataque común, pero los expertos dicen que los estafadores se han apresurado a adoptar nuevas tecnologías, como el audio “falso profundo” generado por la inteligencia artificial para fingir ser ejecutivos de una empresa y engañar a los subordinados para que envíen dinero.

En el caso de Williams, el director de la organización sin ánimo de lucro de San Francisco, los ladrones piratearon la cuenta de correo electrónico del contable de la organización, luego se insertaron en un largo hilo de correo electrónico, enviaron mensajes pidiendo que se cambiaran las instrucciones de pago por transferencia para un beneficiario de una subvención y se hicieron con 650.000 dólares.

Después de descubrir lo sucedido, dijo Williams, sus llamadas a las fuerzas del orden no llegaron a ninguna parte.

El FBI le dijo que la oficina local del fiscal de EE.UU. no se haría cargo de su caso. Ella voló a Odessa, Texas, donde elSe localizó el banco que inicialmente recibió el dinero robado. Para entonces, el dinero ya había desaparecido y el detective local no pudo ayudar. Williams pidió ayuda a sus senadores y más tarde se enteró de que el Servicio Secreto estaba investigando, pero dijo que no le había dado ninguna actualización.

Crane Hassold, experto en estafas BEC y ex analista cibernético del FBI, ha oído hablar de fiscales federales que se niegan a aceptar casos BEC a menos que se roben varios millones de dólares, un umbral mínimo que habla de lo descontrolado que está el problema.

“Hay tantos que es imposible que los trabajen todos”, dijo Hassold, ahora director de inteligencia de amenazas en Abnormal Security.

Casi todas las empresas son vulnerables a las estafas BEC, desde las compañías de la lista Fortune 500 hasta los pueblos pequeños. Incluso el Departamento de Estado fue engañado para que enviara a los estafadores de BEC más de 200.000 dólares en subvenciones destinadas a ayudar a los agricultores tunecinos, según muestran los registros judiciales.

En los últimos años, el Departamento de Justicia ha puesto en marcha operaciones de varios meses de duración que han dado lugar a cientos de detenciones en todo el mundo.

“Nuestro mensaje a los delincuentes implicados en este tipo de esquemas BEC seguirá siendo claro: la memoria y el alcance del FBI son largos y amplios, les perseguiremos implacablemente sin importar dónde se encuentren”, dijo Brian Turner, subdirector ejecutivo de la Subdivisión Penal, Cibernética, de Respuesta y Servicios del FBI.

Pero los expertos en seguridad afirman que la oleada de detenciones ha tenido poco impacto, y las propias cifras del FBI muestran que las estafas BEC siguen creciendo a gran velocidad.

“Puedes arrestar a 100 de los tipos y no hay efecto dominó”, dijo Hassold.

Muchos de los detenidos por las autoridades estadounidenses son “mulas de dinero” de bajo nivel, que mueven el dinero robado por el sistema bancario hasta que está fuera del alcance de las autoridades.

Las “mulas” no necesitan conocimientos de piratería informática y tienen orígenes muy diversos. Un hombre del sur de Florida, Alfredo Veloso, se declaró culpable en 2019 después de que los fiscales digan que reclutó a mujeres que conoció a través de su negocio haciendo videos de “pornografía kink” para ser mulas de dinero para BEC y otras estafas cibernéticas.

Las sofisticadas estafas BEC dirigidas a empresas y otras organizaciones comenzaron a despegar a mediados de la década de 2010. También fue en esa época cuando los ataques de ransomware -en los que los hackers irrumpen en las redes y cifran los datos- empezaron a crecer en frecuencia y gravedad.

Durante años, tanto las estafas BEC como los ataques de ransomware se trataron en gran medida como un problema de aplicación de la ley. Eso sigue siendo cierto en el caso de los ataques BEC, pero el ransomware es ahora una preocupación clave para la seguridad nacional tras una serie de ataques perturbadores contra infraestructuras críticas, como el que se produjo el año pasado contra el mayor oleoducto de combustible de Estados Unidos, que provocó escasez de gas en la costa este.

Los hackers de la Agencia de Seguridad Nacional han tomado medidas para interrumpir las redes de los operadores de ransomware. El Departamento de Justicia creó un grupo de trabajo sobre ransomware para organizar mejor la respuesta de las fuerzas de seguridad. Y el Presidente de Estados Unidos, Joe Biden, ha presionado directamente al Presidente de Rusia, Vladimir Putin, donde se encuentran muchos operadores de ransomware.

No se ha desplegado nada parecido a estos esfuerzos contra el fraude BEC, a pesar de las enormes pérdidas financieras.

“Es un montón de pequeños silos, y todavía no han encontrado la manera de tener una sola fuente que persiga estas cosas”, dijo John Wilson, un investigador de amenazas en la firma de ciberseguridad Agari.

Si Estados Unidos lanzara una respuesta de todo el gobierno al fraude BEC, es casi seguro que se centraría en gran medida en Nigeria.

En ningún lugar los estafadores de BEC son más activos que en la nación más poblada de África, donde los estafadores han podido operar casi sin control durante décadas. La trillada estafa del príncipe nigeriano puede ser ahora un chiste mundial, pero una nueva generación está haciendo fortunas a través de sofisticados fraudes BEC.

Los estafadores de BEC de Nigeria son glorificados en canciones pop y muestran su riqueza en Instagram y Facebook, posando con coches caros o montones de dinero.

Ramon Abbas, un conocido influencer nigeriano de las redes sociales que se hacía llamar Ray Hushpuppi, tenía más de 2 millones de seguidores en Instagram antes de ser detenido en Dubai. Las publicaciones de Abbas en las redes sociales lo mostraban viviendo una vida de lujo total, con jets privados, coches ultra caros y ropa y relojes de alta gama.

“Espero que algún día inspire a más jóvenes para que se unan a mí en este camino”, rezaba un post de Instagram de Abbas, que se declaró culpable en Estados Unidos de lavado de dinero internacional relacionado con BEC y otros ciberdelitos el año pasado. Su sentencia está prevista para julio.

Pete Renals, investigador de amenazas de la Unidad 42 de Palo Alto, dijo que los delincuentes nigerianos con conocimientos de tecnología empezaron a aprender a utilizardisponible para robar las credenciales de las víctimas alrededor de 2014. A medida que el software cambió, los estafadores también cambiaron. En 2018, dijo, los investigadores comenzaron a ver malware nigeriano desarrollado en el país por los propios estafadores de BEC.

“No parece que haya mucho que los frene”, dijo. No ven “ninguna razón para detenerse”.

Obinwanne Okeke era uno de los jóvenes empresarios más conocidos de Nigeria cuando participó como ponente en un acto organizado por la prestigiosa London School of Economics.

“Si no nace en ti asumir retos, no puedes hacerlo”, dijo Okeke en el evento de 2018 al hablar de su impulso empresarial.

Pero pocos días antes de hacer esos comentarios, Okeke se había dedicado a enviar facturas falsas y a estafar 11 millones de dólares a la oficina de ventas británica del fabricante de maquinaria pesada Caterpillar mediante una estafa BEC, según el FBI. Fue detenido en el aeropuerto de Dulles, a las afueras de Washington, en 2019, se declaró culpable de fraude electrónico un año después y ahora cumple una condena de 10 años de prisión.

Los estafadores de BEC detenidos por la policía en Nigeria suelen tener mejor suerte y recuperan su libertad pagando multas o sobornos, dicen los expertos. Adedeji Oyenuga, profesor de sociología de la Universidad Estatal de Lagos que ha estudiado la cultura de la ciberdelincuencia, afirma que los estafadores de BEC tienen poco miedo a ser castigados si son descubiertos.

“La persona se pasea libremente por las calles sabiendo que nadie va a decir nada sobre lo que está haciendo”, dijo Oyenuga.

En el caso Hushpuppi, los fiscales estadounidenses también han acusado a Abba Kyari, un alto funcionario nigeriano de las fuerzas del orden que, según los fiscales, encarceló falsamente a uno de los rivales criminales de Abbas. Kyari permanece en Nigeria, donde los medios de comunicación dicen que ha sido detenido por otros cargos relacionados con el presunto contrabando de drogas.

Doug Witschi, director adjunto de la organización policial mundial Interpol, dijo que las empresas tecnológicas que ayudan a facilitar los delitos BEC tienen que ser más activas para detener este tipo de comportamiento.

“No podemos detenernos para salir de este desafío”, dijo.

A diferencia de los operadores de ransomware, que intentan mantener sus comunicaciones en privado, los estafadores de BEC suelen intercambiar abiertamente servicios, compartir consejos o mostrar su riqueza en plataformas de medios sociales como Facebook y Telegram.

Un grupo de Facebook llamado Wire Wire.com, que hasta hace poco estaba disponible para cualquier persona con una cuenta de Facebook, actuaba como un tablero de mensajes para que la gente ofreciera servicios relacionados con BEC y otros delitos cibernéticos.

La página, que tenía una foto de perfil de una bolsa de lona llena de dinero en efectivo, fue creada en 2015 y tenía más de 1.400 miembros. Fue retirada poco después de que The Associated Press preguntara por ella a Facebook el mes pasado. La compañía declinó hacer comentarios.

En el caso del dinero robado en Grand Rapids, fueron las redes sociales las que ayudaron a las fuerzas del orden a la hora de solicitar la aprobación de un juez federal para una orden de registro.

En la solicitud se incluía un post de Instagram sobre las vacaciones de Kateryna Abourched, que relacionaba el momento de su viaje con un pago de 3.503 dólares a un complejo turístico de lujo en México realizado desde la cuenta bancaria que había recibido el dinero robado de Grand Rapids.

“Las vacaciones siempre son inspiradoras”, escribió en su post de Instagram.