Hay un tipo de estafa cada vez más común,  conocida como “business email compromise” o el fraude del CEO. Entre las empresas que han sido víctimas están Ferrari NV y Arrow Electronics, quienes perdieron millones de dólares luego de que sus empleados fueron engañados para transferir dinero a cuentas bancarias de Hong Kong.

Esto se genera cuando un empleado en una oficina remota de la compañía recibe un correo electrónico que pretende ser de un alto ejecutivo o persona con autoridad. Aunque a simple vista parece que fuera de ellos, hay una o dos letras incorrectas en la dirección, o en ocasiones es una cuenta auténtica pero hackeada. El correo indica que el empleado ha sido elegido para una tarea especial, que exige discreción y urgencia, y por lo general solicita la transferencia inmediata de fondos a una cuenta con sede en Hong Kong para realizar una compra o pagar una factura. Una vez que se transfiere el dinero, éste se canaliza rápidamente a otras cuentas, desapareciendo en un laberinto de redes que se extienden a China y otros países.

Esta estafa ha causado pérdidas globales de más de 12 mil millones de dólares en 78 mil compañías en 150 países desde 2013. El FBI, identificó a cuentas bancarias de Hong Kong y China como los principales destinos de este tipo de fraude en los últimos años. Estas estafas aumentaron 136 por ciento en términos de valor en los 18 meses previos a mayo de 2018, en el periodo previo de 2015-2016 crecieron mil 300 por ciento, dice el FBI.

La firma de  Jeff Lane, socio del bufete de abogados Tanner De Witt y representante en Hong Kong de FraudNet, manejó 57 casos en 2017, pero en 2018 ya llevaba la misma cifra al mes de septiembre.

Lane estima la tasa de recuperación general, si las empresas actúan rápidamente para congelar los fondos, en menos del 50 por ciento. Las firmas de abogados deben identificar primero todas las cuentas que recibieron el dinero tal como fue dividido y transferido, y luego solicitar la congelación de cada cuenta, si aún hay dinero en ella. Luego, los abogados tienen que solicitar un fallo sumario para obtener la devolución del dinero, un proceso que puede demorar años si se impugna. “El crimen obviamente paga si solo recuperas la mitad del dinero”, dice Lane.

Uno de los  casos de mayor importancia reportado durante 2018, fue la estafa a un fabricante español de piezas mecánicas con once millones de euros que se dispersaron en múltiples cuentas bancarias en Hong Kong. La policía dijo que pudo devolver el 60% del dinero defraudado.

En 2017, la unidad norteamericana de Ferrari fue despojada de 6 millones 700 mil dólares cuando “una persona desconocida que se hizo pasar por el director ejecutivo de la empresa matriz del demandante, Ferrari SpA” indujo a un ejecutivo sénior a autorizar un pago en tres cuotas a una cuenta bancaria hongkonesa “como parte de una falsa transacción para comprar acciones de una compañía cotizada en nombre de la empresa matriz del demandante”, según una querella que busca recuperar los fondos en el Tribunal Superior de Hong Kong. (Los documentos del tribunal se modificaron posteriormente: el suplantado fue el director financiero, no el director ejecutivo).

El dinero primero fue transferido a la cuenta de una compañía en Hong Kong que comercializa madera para pisos. Luego, una parte se canalizó a una empresa de alimentos congelados antes de pasar por otras cuentas, incluida la de un vendedor de carne congelada y varias empresas de importación y exportación. En julio, el tribunal emitió un fallo sumario contra una empresa de importación y exportación que había recibido tres millones 300 mil dólares del dinero de Ferrari a través de la compañía de pisos de madera, argumentando que ésta u otras dos compañías a las que había transferido los fondos deben devolver el dinero porque nunca tuvieron ningún trato con la automotriz que justificara dichos pagos. Hasta ahora, según una persona familiarizada con el caso, los abogados han podido recuperar dos millones 200 mil dólares de los fondos de Ferrari, luego de que los destinatarios no reivindicaran que los fondos eran legítimamente suyos. Ferrari se negó a comentar sobre el caso.

Arrow, una compañía de componentes electrónicos con sede en Centennial, Colorado, fue estafada con 23 millones 400 mil dólares cuando un empleado de una filial en Noruega fue “inducido por personas que se hacían pasar, por teléfono o correo electrónico, por el CEO de Arrow Electronics o por un abogado de un bufete en Wisconsin” para transferir el monto en nueve pagos en el curso de cinco días en 2016, según un caso que se dirime en el Tribunal Superior de Hong Kong. La compañía descubrió el fraude cuatro días después y ordenó a su banco noruego recuperar los fondos. El banco solo pudo recobrar 6 millones de dólares. Los 17 millones 400 mil dólares restantes ya habían sido transferidos a seis cuentas bancarias de HSBC en Hong Kong, cuyos titulares luego volvieron a transferir los fondos, según documentos judiciales. HSBC Holdings Plc declinó hacer comentarios al respecto.

La solicitud al Tribunal Superior que busca recuperar dichos fondos de 26 cuentas no alega que sus titulares hayan cometido fraude, solo que recibieron el dinero y deberían devolverlo. Uno de los destinatarios, una casa de cambio, argumentó que había realizado una conversión legítima del dinero a yuanes chinos, que luego fueron transferidos a China. En mayo de 2018, el tribunal ordenó en un fallo sumario que se devolvieran 4 millones de dólares depositados en varias cuentas. Arrow continúa buscando la recuperación de su dinero en la corte.

Hasta ahora, la policía de Hong Kong se ha negado a presentar cargos contra los receptores de los fondos, muchos de los cuales afirman que no saben por qué recibieron el dinero. La policía “continúa estableciendo como una de sus prioridades operativas el combate a la delincuencia tecnológica y la ciberseguridad”, dijo un portavoz en un comunicado. De julio de 2017 a julio de 2018, la policía había manejado mil 382 casos de toda clase de delitos cibernéticos que ascendían a 488 millones de dólares, y ayudó a recuperar 80 millones de dólares en 321 casos, según el comunicado.

Susan Kendall, socia del bufete Baker McKenzie en Hong Kong, cuya oficina ha manejado más de cien casos del fraude del CEO o business email compromise comenta que hasta donde saben, nadie ha sido arrestado por esta estafa en los últimos tres años. Aunque más allá de Hong Kong sí se han producido detenciones: el FBI anunció en junio de 2018 una operación internacional que arrestó a 74 personas por el fraude del CEO, incluidos individuos de Estados Unidos, Nigeria, Canadá, Mauricio y Polonia. La oficina de Hong Kong del Departamento de Justicia de Estados Unidos declinó discutir el tema. Pero Kendall dice que su bufete recibe casos a una tasa de cuatro por mes. “Seguimos viendo cómo las compañías Fortune 500 caen víctimas de esta estafa”.

Fuente: El Financiero

Conoce más acerca de nuestros productos y servicios.

Barracuda WAF

Barracuda WAF-as-a-Service

Barracuda Email Security Gateway

Barracuda CloudGen Firewall

Coss Consulting S.A de C.V, Especialistas en Seguridad Informática.

Distrubuidor Preferred Partner de Barracuda Networks en México