Parece difícil de creer que compañías tecnológicas gigantescas como Facebook y Google podrían ser víctimas de estafas de suplantación de identidad, (conocidas en inglés como phishing), pero entre 2013 y 2015 ambas empresas fueron engañadas para pagar decenas de millones de dólares a un equipo internacional de estafadores.
La semana pasada, un hombre de nacionalidad lituana admitió su papel en el fraude, que le costó $98 millones de dólares a Facebook y $23 millones a Google. Evaldas Rimasauskas, de 50 años de edad, se declaró culpable de un cargo de fraude electrónico y también ha sido acusado de cargos de robo de identidad y lavado de dinero con agravantes. Podría enfrentar hasta 30 años tras las rejas cuando un juez de Nueva York dicte sentencia en julio.
Según reporta Bloomberg, las autoridades alegaron que Rimasauskas estableció el elaborado esquema de phishing haciéndose pasar por la empresa Quanta Computer, un fabricante taiwanés de electrónica cuyos clientes incluían a Google y Facebook.
Trabajando con un equipo de cómplices no identificados, los delincuentes falsificaron direcciones de correo electrónico, facturas, y sellos corporativos, para engañar a los dos gigantes de la tecnología para que transfirieran grandes pagos a cuentas bancarias creadas por Rimasauskas.
El ciudadano lituano le dijo al tribunal que abrió cuentas bancarias falsas en varios países para recibir los pagos, y también firmó contratos falsos y documentos que ayudaron a procesar las transferencias.
Los informes sugieren que Rimasauskas, quien fue extraditado a Estados Unidos desde Europa en 2017, creó la infraestructura que hizo posible los pagos fraudulentos, pero no tuvo mucho que ver con las acciones específicas que persuadieron a Facebook y Google a entregar el dinero.
En declaraciones a Bloomberg, Google señaló en un comunicado que desde entonces ya había recuperado los pagos, mientras que Facebook dijo que había «recuperado la mayor parte de los fondos poco después del incidente», agregando que han estado cooperando con la policía sobre el incidente.
Al comentar sobre el caso, el abogado Geoffrey Berman, fiscal del Distrito Sur de Nueva York, dijo en una declaración: «Como admitió hoy Evaldas Rimasauskas, ideó un plan descarado para despojar a las empresas estadounidenses de $100 millones de dólares, y luego desvió esos fondos para cuentas bancarias en diferentes lugares del mundo».
Continuó diciendo: “Rimasauskas pensó que podía esconderse detrás de una pantalla de computadora en el exterior mientras conducía su esquema fraudulento, pero, como ha visto, los brazos de la justicia estadounidense son largos, y ahora se enfrenta a un tiempo significativo en una prisión de los Estados Unidos”.
NO ES LA PRIMERA VEZ
Situaciones como estas, que afectan a grandes entidades, no son nada nuevo. Este tipo de estafa, o variaciones de ella, se ha visto antes y es similar en algunos aspectos a una que afectó a la línea aérea Japan Airlines en 2017 cuando un empleado de la aerolínea fue engañado para que realizara varios pagos por un total de aproximadamente $3.4 millones de dólares en cuentas bancarias que se habían establecido por los estafadores.
Tales estafas a menudo solo salen a la luz cuando la compañía real que espera los fondos se comunica con su cliente para preguntar sobre el paradero del pago, que ya se encuentra en los bolsillos de los estafadores.
Este tipo de estafa, que se ha vuelto más frecuente en los últimos años, puede afectar a compañías grandes y pequeñas en todo el mundo. Los expertos sugieren que todo empleado que realiza un pago a una empresa externa primero llame directamente a la compañía para confirmar la validez de la factura enviada por correo electrónico, y que confirme los detalles bancarios. Además, una vez que se hayan enviado los fondos, debería contactarlos vía telefónica una vez más para garantizar que se recibieron.
El FBI afirma que casos como este aumentaron en los Estados Unidos, donde estafadores y piratas cibernéticos trataron de robar un total de más de $5.3 billones ($5,300 millones) de dólares en el transcurso de un solo año.
ATAQUES DE PHISHING EN AUMENTO
Ante el incremento de estos ataques, otras grandes compañías están a la defensiva. Por ejemplo, el equipo de seguridad de Microsoft analiza más de 6,500 millones de señales de seguridad al día para identificar tendencias que podrían afectar el entorno digital en el que vivimos. Después de analizar más de 470 mil millones de mensajes de correo electrónico que han sido enviados y recibidos por los clientes de su plataforma Office 365, la compañía informa que los ataques maliciosos de phishing están aumentando, y no por un pequeño margen. Se trata de un masivo 250 por ciento. Peor aún, las técnicas utilizadas por los estafadores son cada vez más competentes y más difíciles de detectar.
Según el informe de Microsoft, las técnicas utilizadas por los phishers incluyen la falsificación o suplantación de dominios, la suplantación de usuarios, los textos de anzuelo, los enlaces de phishing para robar credenciales, los archivos adjuntos maliciosos, y los enlaces a ubicaciones de almacenamiento en la nube falsas. El uso de estos métodos puede hacer parecer que los correos electrónicos falsos se envían desde dominios oficiales o personales, mientras se presentan archivos maliciosos y enlaces para que los usuarios los abran y caigan presa del fraude.
QUÉ HACER PARA PROTEGERTE
Al acceder a tu correo electrónico, es esencial tomar precauciones contra el phishing, una práctica que se dirige tanto a individuos como a empresas. Nunca envíes información confidencial, como información de tu cuenta bancaria, seguro social, o contraseñas dentro de un correo electrónico, y siempre asegúrate de verificar la dirección desde la cual se envió el email. Si tienes alguna duda, comunícate por otros medios con la persona o institución en cuestión para verificar si enviaron un correo electrónico legítimo, o si podría tratarse de un fraude.
