‘Man in the middle’, la estafa que asusta a los ayuntamientos: Roban en Mérida 50.000 euros

La conocida estafa 'Man in the middle' ha vuelto a ser utilizada con éxito por los estafadores. Hasta ahora, las víctimas de este tipo de fraude habían sido particulares y empresas. Sin embargo, ahora este fraude ha sido utilizado contra el Ayuntamiento de Mérida, por el que han conseguido llevarse más de 50.000 euros.

Ayuntamiento de Mérida

Esta estafa funciona con la suplantación de cuentas de correos, que utilizan para mandar facturas de importes elevados. En el caso de las instituciones, por ejemplo, aprovechando la ejecución de obras u otros proyectos habituales.

Cómo funciona el método ‘Man in the middle’

La técnica denominada ‘man in the middle’ ha crecido exponencialmente estos últimos tiempos. Con ella, los delincuentes consiguen monitorear e interceptar las comunicaciones de una empresa y envían en su nombre a alguno de sus clientes un correo reclamando algún pago o una factura (que ha sido previamente manipulada), con el fin de que el importe sea abonado en una cuenta distinta a la de su proveedor.

Esquema de la estafa 'Man in the middle'

Para los delincuentes estos fraudes presentan la ventaja de que no son descubiertos hasta semanas más tarde, cuando el legítimo acreedor de la factura se pone en contacto con el pagador para comunicar que no le ha llegado el pago correspondiente. Para entonces, los fondos han volado, pues nada más recibirlos el delincuente procede a moverlos a otras cuentas cuyo rastro se pierde en remotos lugares o en productos imposibles de rastrear, la mayoría en paraísos fiscales o carteras de criptomonedas.

Una vez descubierto el fraude se procede a denunciarlo, acción que es bastante más útil de lo que parece, pues posibilita averiguar rápidamente el movimiento de los fondos y la persona titular de la cuenta de destino, o de su administrador si es una persona jurídica.

Fraude cibernético

Si se actúa con rapidez es posible conseguir que, a través de la Policía o de una orden judicial, se congelen los fondos de la cuenta de destino o, al menos, una parte si al delincuente no le ha dado tiempo a robar todo el dinero, ya que muchas entidades bancarias disponen de límites diarios en las transacciones.

Si no se tiene éxito con las medidas anteriormente mencionadas, es más que probable que el dinero ya sea inaccesible, pues el beneficiario de los fondos suele ser una persona insolvente. De esta manera, la vía penal resulta prácticamente inútil.

Esquema de la estafa 'Man in the middle'

En algunos casos puede conseguirse involucrar o incriminar al banco receptor del dinero, normalmente como cooperador o responsable civil de un posible delito de blanqueo de capitales, si es que se consigue acreditar que incumplieron alguna de las numerosas obligaciones establecidas por la normativa de blanqueo, tales como permitir la apertura de la cuenta bancaria a alguien no debidamente acreditado; no informarse sobre la actividad de la persona o la empresa en cuestión; o no reportar al SEPBLAC de manera puntual los movimientos sospechosos de dinero en las cuentas.

Ayuntamientos como el de Palma o Barcelona ya habían sufrido anteriormente estafas como la llamada 'del CEO', como ya informó elcierredigital.com.

El caso de Mérida

El último caso de estafa urdida con este método tuvo como objetivo al Ayuntamiento de Mérida, que efectuó un pago de más de 50.000 euros a una empresa que les había realizado un servicio. Sin embargo, ese pago nunca llegó a su destinatario. A través del polémico método, los estafadores interceptaron los correos y modificaron el número de cuenta al que hacer el ingreso. 

Las sospechas llegaron cuando, pasados los días, la empresa no recibe la transferencia y habla con el Ayuntamiento y este asegura que sí realizó el envío del dinero indicado. Al comprobar la factura, se dan cuenta de que el número de cuenta había sido reemplazado y que habían sido víctimas de un delito cibernético.

Pleno del Ayuntamiento de Mérida

La entidad bancaria tampoco detectó el delito, por lo que autorizó el pago. Es importante señalar que el Ayuntamiento de Mérida ya había trabajado en otras ocasiones con este proveedor, por lo que ya tenían una ficha en la que constaban sus datos fiscales, el alta en los registros municipales y el número de la cuenta bancaria. 

Sin embargo, todas estas comprobaciones también podrían estar alteradas porque "tendría barreras de ciberseguridad, aunque se está comprobando su eficacia, pero que con seguridad han sido desbloqueadas", según apuntan fuentes de la investigación en diversos medios de comunicación.

Antonio Rodríguez Osuna, alcalde de Mérida

La denuncia fue presentada por el Ayuntamiento de Mérida el 10 de agosto. Su alcalde, Antonio Rodríguez Osuna, se limitó a decir que "el servicio de la obra se hizo por parte de la empresa, nosotros hicimos el pago, lo demás es una cuestión que está en manos de la investigación de la Policía y de la Justicia porque nosotros no tenemos más datos". No obstante, debido a que el dinero sigue en paradero desconocido, el Ayuntamiento ha pedido a la entidad bancaria la devolución del pago alegando que han sido víctimas de la estafa 'Man in the middle'.

Pese a que ya ha pasado un mes desde que se interceptó el delito y fue puesta la denuncia, la investigación apenas ha avanzado. Y es que, en estos casos, la cuenta de destino de los estafadores se suele encontrar en terceros países en los que se pierde el rastro de los movimientos, tal y como informan distintos abogados. Por lo que estudiar dónde han ido los 50.000 euros del Ayuntamiento de Mérida es una ardua tarea que puede suponer meses de investigación.