L’estafa informàtica del «Man in the middle» (i II)

Article publicat el dilluns, 27 de novembre, al Diari de Girona

Darrerament, el Diari de Girona va publicar la primera part d’aquest article on parlàvem del vertiginós augment de les estafes informàtiques i concretament, de l’estafa informàtica del Man in the middle.

L’estafa del Man in the middle (home al mig), consisteix a interceptar la comunicació entre dos dispositius adquirint la capacitat de suplantar la identitat d’una de les parts i modificar l’identificador únic de les factures intercanviades per desviar el cobrament de l’import a un altre compte bancari diferent del proveïdor.

Cada dia es fa més difícil detectar aquests delictes i per aquest motiu, moltes persones són estafades tot i haver actuat amb la diligència deguda. Pel fet que aquesta estafa és una de les més sofertes per petites i mitjanes empreses, la primera part de l’article va tenir molta repercussió. Així i tot, sorprèn que encara hi ha moltes empreses que no coneixen aquest tipus d’estafa, mentre que altres que van comentar l’article deien que ja havien patit aquesta estafa feia uns dos anys i la coneixien prou bé.

Una de les primeres recomanacions que hem de tenir en compte per prevenir la cibercriminalitat en la nostra empresa i també, és clar, a la nostra vida privada, és estar alerta davant la possibilitat de qualsevol atac informàtic. Una de les opcions més efectives a l’hora de realitzar una transferència amb un tercer és corroborar amb el responsable o titular del compte que el número d’IBAN i la resta de dades són les correctes, sobretot en aquells casos els quals el tercer és un proveïdor recurrent, hauríem de comprovar que el compte sigui sempre el mateix i en cas de detectar qualsevol canvi en una nova factura, contrastar la informació per una altra via que no sigui la del correu electrònic.

En un primer moment, un dels símptomes que podia aixecar la veu d’alerta, és que el canvi de compte corrent fos a una entitat bancària poc corrent, o almenys, de les que no solen treballar tant amb empreses. Però ara ja no. Almenys en els últims casos que hem conegut eren entitats bancàries en les quals fins i tot l’empresa hi havia treballat o treballava.

Aquesta operació de corroboració (una simple trucada de telèfon) és realment senzilla, però en funció del volum de factures de l’empresa, aquest mecanisme pot suposar un cost important de gestió. Per aquest motiu, exposarem a continuació possibles mecanismes de prevenció en l’estafa del Man in the Middle.

Els dos principis bàsics que han de regir tot mecanisme intern destinat a la protecció de la informació digital són la confidencialitat i la integritat. Per garantir la confidencialitat de les dades és necessari incorporar mecanismes d’accés perquè cada treballador o usuari accedeixi només a la informació estrictament necessària. Així mateix, aquesta informació ha d’estar protegida i lliure de modificacions per garantir la integritat de totes les dades.

Per assegurar-nos que tota informació que rebem i enviem és correcta i confidencial, haurem d’incorporar protocols interns amb mesures organitzatives i sobretot, amb mesures tècniques.

Les mesures organitzatives estan exclusivament destinades a incorporar sistemes i procediments interns de classificació de la informació amb la finalitat d’evitar la seva contaminació. Ara bé, les mesures tècniques consisteixen a establir controls de la informació, les quals poden estar destinades exclusivament a tot el contingut extern que pot arribar a rebre una empresa.

Establir un protocol intern mitjançant el qual no es permeti realitzar transferències a un número de compte diferent del qual consta oficialment en les dades de l’empresa, llevat que la transacció sigui autoritzada per un responsable, podria ser un dels mecanismes de prevenció més eficaços en l’estafa del Man in the Middle.

Tanmateix, no podem obviar la necessitat d’establir noves mesures de reforç en els sistemes de pagament bancaris per a disminuir tots aquests riscos en les transferències. La solució podria trobar-se en establir una autenticació reforçada bilateral la qual consisteixi, per una banda, a verificar que la persona que efectua l’operació és realment el titular del compte bancari, i d’altra banda, sense incomplir la normativa de protecció de dades, impedir l’operació quan el nom del beneficiari no coincideixi amb el titular del compte destinatari.

Avui en dia la ciberseguretat total no existeix, no hi ha cap mecanisme antifrau que sigui cent per cent efectiu, ja que les tècniques delictives són moltes i cada cop més complexes. Això no obstant, si volem disminuir la possibilitat de ser víctimes de l’estafa del Man in the Middle, la implantació d’un Pla intern de mesures antifrau és imprescindible, i pot formar part dels protocols complementaris a les polítiques de Compliance de les empreses.

(*) En col·laboració amb Dafne Burgos

Antoni Pérez De-Gregorio i Capella

Client Choice Awards 2020 Litigation

Advocat a Rebled Bellvehí Advocats

Cookie	Duració	Descripció
cookielawinfo-checkbox-advertisement	1 any	Establida pel connector de consentiment de cookies GDPR, aquesta cookie s'utilitza per registrar el consentiment de l'usuari per a les cookies a la categoria "Publicitat".
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-analytics	1 any	Establida pel connector de consentiment de cookies GDPR, aquesta cookie s'utilitza per registrar el consentiment de l'usuari per a les cookies a la categoria "Anunci".
cookielawinfo-checkbox-functional	1 any	La cookie la configura el connector de consentiment de cookies del GDPR per registrar el consentiment de l'usuari per a les cookies a la categoria "Funcionals".
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-necessary	1 any	Establida pel complement de consentiment de cookies GDPR, aquesta cookie s'utilitza per registrar el consentiment de l'usuari per a les cookies a la categoria "Necessàries".
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-others	1 any	Establida pel complement de consentiment de cookies GDPR, aquesta cookie s'utilitza per registrar el consentiment de l'usuari per a les cookies a la categoria "Necessàries".
viewed_cookie_policy	1 any	La cookie la configura el connector de consentiment de cookies del GDPR per emmagatzemar si l'usuari ha consentit o no l'ús de les cookies. No emmagatzema cap dada personal.

Cookie	Duració	Descripció
et_pb_ab_view_page_23	session	No hi ha descripció disponible.
et_pb_ab_view_page_27968	sessió	Sense descripció
et_pb_ab_view_page_27973	session	No description
et_pb_ab_view_page_27973	sessió	Sense descripció

Cookie	Duració	Descripció
IDE	1 any	Les cookies de Google DoubleClick IDE s'utilitzen per emmagatzemar informació sobre com l'usuari utilitza el lloc web per presentar-los anuncis rellevants i segons el perfil de l'usuari.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
test_cookie	15 min	El test_cookie el defineix doubleclick.net i s'utilitza per determinar si el navegador de l'usuari admet cookies.
VISITOR_INFO1_LIVE	6 mesos	Una cookie establerta per YouTube per mesurar l'amplada de banda que determina si l'usuari obté la interfície del reproductor nova o antiga.
YSC	sessió	La cookie YSC la configura Youtube i s'utilitza per fer un seguiment de les visualitzacions dels vídeos incrustats a les pàgines de Youtube.
yt-remote-connected-devices	mai	YouTube estableix aquesta cookie per emmagatzemar les preferències de vídeo de l'usuari que utilitza el vídeo de YouTube incrustat.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	mai	YouTube estableix aquesta cookie per emmagatzemar les preferències de vídeo de l'usuari que utilitza el vídeo de YouTube incrustat.

Cookie	Duració	Descripció
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
CONSENT	2 anys	YouTube estableix aquesta cookie mitjançant vídeos de youtube incrustats i registra dades estadístiques anònimes.

Cookie	Duració	Descripció
pll_language	1 year	The pll _language cookie is used by Polylang to remember the language selected by the user when returning to the website, and also to get the language information when not available in another way.
pll_language	1 any	La cookie pll _language és utilitzada per Polylang per recordar l'idioma seleccionat per l'usuari quan torna al lloc web, i també per obtenir la informació de l'idioma quan no està disponible d'una altra manera.

L’estafa informàtica del «Man in the middle» (i II)

Últimes entrades