Artículo publicado el lunes, 27 de noviembre, en el Diari de Girona
Últimamente, el Diari de Girona publicó la primera parte de este artículo donde hablábamos del vertiginoso aumento de las estafas informáticas y, en particular, de la estafa informática del Man in the Middle.
La estafa del Man in the Middle (hombre en el medio) consiste en interceptar la comunicación entre dos dispositivos adquiriendo la capacidad de suplantar la identidad de una de las partes y modificar el identificador único de las facturas intercambiadas para desviar el cobro del importe a otra cuenta bancaria diferente al proveedor.
Cada día es más difícil detectar estos delitos y por este motivo, muchas personas son estafadas incluso habiendo actuado con la diligencia debida. Dado que esta estafa es una de las más sufridas por pequeñas y medianas empresas, la primera parte del artículo tuvo mucha repercusión. Aun así, sorprende que todavía hay muchas empresas que no conocen este tipo de estafa, mientras que otras que comentaron el artículo decían que ya habían sufrido esta estafa hace unos dos años y la conocían bastante bien.
Una de las primeras recomendaciones que debemos tener en cuenta para prevenir la cibercriminalidad en nuestra empresa y también, por supuesto, en nuestra vida privada, es estar alerta ante la posibilidad de cualquier ataque informático. Una de las opciones más efectivas al realizar una transferencia con un tercero es corroborar con el responsable o titular de la cuenta que el número de IBAN y el resto de datos son los correctos, especialmente en aquellos casos en los que el tercero es un proveedor recurrente; deberíamos comprobar que la cuenta sea siempre la misma y, en caso de detectar cualquier cambio en una nueva factura, contrastar la información por otra vía que no sea la del correo electrónico.
En un primer momento, uno de los síntomas que podía levantar la voz de alerta era que el cambio de cuenta corriente fuera a una entidad bancaria poco corriente, o al menos, de las que no suelen trabajar tanto con empresas. Pero ahora ya no. Al menos en los últimos casos que hemos conocido eran entidades bancarias en las que incluso la empresa había trabajado o trabajaba.
Esta operación de corroboración (una simple llamada de teléfono) es realmente sencilla, pero en función del volumen de facturas de la empresa, este mecanismo puede suponer un coste importante de gestión. Por este motivo, expondremos a continuación posibles mecanismos de prevención en la estafa del Man in the Middle.
Los dos principios básicos que deben regir todo mecanismo interno destinado a la protección de la información digital son la confidencialidad y la integridad. Para garantizar la confidencialidad de los datos es necesario incorporar mecanismos de acceso para que cada trabajador o usuario acceda solo a la información estrictamente necesaria. Asimismo, esta información debe estar protegida y libre de modificaciones para garantizar la integridad de todos los datos.
Para asegurarnos de que toda la información que recibimos y enviamos es correcta y confidencial, deberemos incorporar protocolos internos con medidas organizativas y, sobre todo, con medidas técnicas.
Las medidas organizativas están exclusivamente destinadas a incorporar sistemas y procedimientos internos de clasificación de la información con la finalidad de evitar su contaminación. Ahora bien, las medidas técnicas consisten en establecer controles de la información, las cuales pueden estar destinadas exclusivamente a todo el contenido externo que puede llegar a recibir una empresa.
Establecer un protocolo interno mediante el cual no se permita realizar transferencias a un número de cuenta diferente al que consta oficialmente en los datos de la empresa, salvo que la transacción sea autorizada por un responsable, podría ser uno de los mecanismos de prevención más eficaces en la estafa del Man in the Middle.
Sin embargo, no podemos obviar la necesidad de establecer nuevas medidas de refuerzo en los sistemas de pago bancarios para disminuir todos estos riesgos en las transferencias. La solución podría encontrarse en establecer una autenticación reforzada bilateral que consista, por un lado, en verificar que la persona que realiza la operación es realmente el titular de la cuenta bancaria y, por otro lado, sin infringir la normativa de protección de datos, impedir la operación cuando el nombre del beneficiario no coincida con el titular de la cuenta destinataria.
Hoy en día, la ciberseguridad total no existe, no hay ningún mecanismo antifraude que sea cien por ciento efectivo, ya que las técnicas delictivas son muchas y cada vez más complejas. Esto no obstante, si queremos disminuir la posibilidad de ser víctimas de la estafa del Man in the Middle, la implantación de un Plan interno de medidas antifraude es imprescindible, y puede formar parte de los protocolos complementarios a las políticas de Compliance de las empresas.
(*) En colaboración con Dafne Burgos
Antoni Pérez De-Gregorio i Capella
Client Choice Awards 2020 Litigation
Abogado en Rebled Bellvehí Advocats