‘Man in the middle’, roban 50.000 euros a través de un ataque a un ayuntamiento

La conocida y polémica estafa  'Man in the middle',  basada en la suplantación de una empresa para mandar facturas falsas, ha vuelto a ser utilizada con éxito. Hasta este momento,  las víctimas de este tipo de fraude habían sido particulares y empresas. Sin embargo, ahora la estafa  ha sido utilizada contra el Ayuntamiento de Mérida, a través de este método los estafadores han conseguido sustraer más de 50.000 euros.

Esta estafa funciona con la  suplantación de cuentas de correos, que utilizan para mandar facturas de importes elevados. En el caso de las instituciones, por ejemplo, aprovechando la ejecución de obras u otros proyectos habituales.

Cómo funciona el método ‘Man in the middle’

La técnica denominada ‘man in the middle’ ha crecido exponencialmente estos últimos tiempos. Con ella, los delincuentes consiguen monitorear e interceptar las comunicaciones de una empresa y envían en su nombre a alguno de sus clientes un correo reclamando algún pago  o una factura (que ha sido previamente manipulada), con el fin de que el importe sea abonado en una cuenta distinta a la de su proveedor.

Para los delincuentes, estos fraudes presentan la ventaja de que  no son descubiertos hasta semanas más tarde, cuando el legítimo acreedor de la factura se pone en contacto con el pagador para comunicar que no le ha llegado el pago correspondiente. Para entonces, los fondos han volado, pues nada más recibirlos el delincuente procede a moverlos a otras cuentas cuyo rastro se pierde en remotos lugares o en productos imposibles de rastrear, la mayoría en paraísos fiscales o carteras de criptomonedas.

Una vez descubierto el fraude se procede a denunciarlo, acción que es bastante más útil de lo que parece, pues  posibilita averiguar rápidamente el movimiento de los fondos y la persona titular de la cuenta de destino, o de su administrador si es una persona jurídica.

Si se actúa con rapidez es posible conseguir que, a través de la Policía o de una orden judicial, se congelen los fondos de la cuenta de destino o, al menos, una parte si al delincuente no le ha dado tiempo a robar todo el dinero, ya que muchas entidades bancarias disponen de límites diarios en las transacciones.

Si no se tiene éxito con las medidas anteriormente mencionadas, es más que probable que el dinero ya sea inaccesible, pues  el beneficiario de los fondos suele ser una persona insolvente. De esta manera, la vía penal resulta prácticamente inútil.

En algunos casos se puede pedir explicaciones a la entidad bancaria receptora del dinero, normalmente como responsable cooperador o responsable civil de un posible delito de blanqueo de capitales, si es que se consigue acreditar que incumplieron alguna de las numerosas obligaciones establecidas.

Ayuntamientos como el de Palma o Barcelona ya habían sufrido anteriormente estafas como la llamada 'del CEO', como ya informó elcierredigital.com.

El caso de Mérida

El último caso de estafa urdida con este método tuvo como objetivo al Ayuntamiento de Mérida, que  sin saber que pagaba a unos estafadores, abonó más de 50.000 euros a una empresa que les había realizado un servicio. Sin embargo, ese pago nunca llegó a su destinatario,  pues el destinatario real era un grupo de estafadores. A través del polémico método, los estafadores interceptaron los correos y modificaron el número de cuenta al que hacer el ingreso. 

Las sospechas llegaron cuando, pasados algunos días, la empresa que debía recibir el dinero no recibe la transferencia y se pone en contacto con el Ayuntamiento. Por su parte, este asegura que sí realizó el envío de la cantidad indicada. Al comprobar la factura es cuando descubrieron que el número de cuenta había sido reemplazado y que habían sido víctimas de un delito cibernético.

La entidad bancaria no llegó a detectar la infracción y autorizó el pago. Es importante señalar que el Ayuntamiento de Mérida ya había trabajado en otras ocasiones con este proveedor, por lo que ya tenían una ficha en la que se podían consultar sus datos fiscales, el alta en los registros municipales y el número de la cuenta bancaria de la empresa en cuestión. 

Sin embargo, todas estas comprobaciones también podrían estar alteradas porque "tendría barreras de ciberseguridad, aunque se está comprobando su eficacia, pero que con seguridad han sido desbloqueadas", según apuntan fuentes de la investigación en diversos medios de comunicación.

La denuncia fue presentada por el Ayuntamiento de Mérida el 10 de agosto. Su alcalde, Antonio Rodríguez Osuna,  explicó que "el servicio de la obra se hizo por parte de la empresa, nosotros hicimos el pago, lo demás es una cuestión que está en manos de la investigación de la Policía y de la Justicia porque nosotros no tenemos más datos".

Sin embargo, debido a que el dinero sigue en paradero desconocido, el Ayuntamiento se ha puesto en contacto con la entidad bancaria para solicitar la devolución del pago efectuado,  alegando que han sido víctimas de estafa.

A pesar de que ya hace más de un mes desde que el delito fue detectado y la denuncia fuera interpuesta, la investigación apenas ha avanzado.  En estos casos, los expertos consultados por el diario La Razón señalan que la cuenta de destino de los estafadores se suele encontrar en terceros países en los que "se pierde el rastro de los movimientos".