La estafa de moda más peligrosa llega en forma de un correo electrónico que se espera, de una persona que conocemos. Rutinario. Incluso un poco aburrido. Otra cosita más, del tipo habitual.
Hemos comprado algo a un proveedor conocido. No importa el qué; un camión de cebollas, un montón de vigas de acero estructural, un pallet de ositos de peluche; lo que sea. La broma suma unos miles de euros. El proveedor nos remite una factura y, un ratito después, un correo indicando el número de cuenta, o IBAN, donde debemos hacer el pago. Lo normal.
Solo que, esta vez, hay un problemita que no hemos percibido: El proveedor nos ha remitido la factura, pero no las instrucciones de pago.
Las instrucciones de pago vienen del estafador, y remiten a una cuenta corriente que no es la del proveedor, sino una controlada por el estafador.
Pero no nos damos cuenta de nada. Es una operación como tantas otras. ¿Dónde se pagan las facturas a esta gente…? Ah, aquí está. Preparo la operación y en un rato la firma el administrador. Listo. A otra cosa.
La otra cosa suele venir en forma de reclamación del proveedor. Ya se sabe: Estimado cliente, por favor verifique, tal y cual. Extraño, porque esa factura se pagó hace ya tiempo. Así que nos ponemos a investigar. No tardamos en sentir una sensación de vacío en el estómago…
¿Qué ha pasado?
Hace ya tiempo (días o meses) que el estafador recibió el pago, así que ha tenido tiempo más que de sobra para desaparecer con el botín. Bueno, ojalá la policía le eche el guante, pero ahora… ¿qué?
Pues así en resumen: vamos a pagar esa factura una segunda vez.
Pero, ¿Qué culpa tengo yo…?
Pues lamento tener que responder a esa pregunta, pero la cosa es la siguiente. Yo, he hecho una transferencia de un importe nada trivial de dinero a un destino que yo he aceptado a valor facial. Vamos, como si se presenta en la puerta un señor diciendo que viene a cobrar tal factura, y se la pago en metálico. Yo no he hecho nada de mala fe. Incluso puedo defender mi inocencia en los tribunales. Pero no va a suceder nada más que el retraso de lo inevitable: el proveedor ha suministrado la mercancía, o el servicio, o lo que sea; y no ha cobrado.
¿Cómo ha sucedido esto?
Fácil. El estafador ha estado leyendo el correo electrónico. O el mío, o el del proveedor; da lo mismo. Y simplemente, ha mandado el correo adecuado (el de las instrucciones de pago falsas) en el momento adecuado (en cuanto ha visto una factura abultada).
¿Me puede pasar a mí? Sin duda alguna. Le puede pasar a cualquiera que gestione facturas y pagos. Y pasa. Pasa demasiado.
¿Y qué puedo hacer?
Si se detecta pronto, el primer orden de cosas es llamar al banco en seguida para intentar bloquear la transferencia. Los bancos tienen equipos dedicados a la lucha contra el fraude, y esta debe ser nuestra primera llamada.
En segundo lugar, hay que denunciar el asunto. En INCIBE hay una guía para ayudar en este paso.
En tercer lugar, hay que determinar si nuestra cuenta de correo ha sido accedida fraudulentamente. Si nuestra cuenta está en Neodigit o algún otro servicio de Tecnocrática, podemos ayudar con este paso: no es necesario más que llamarnos o abrir una incidencia.
¿Y prevenirlo?
Se puede hacer bastante en prevención. Todo, en realidad.
Si estoy pagando facturas, el primer orden de cosas es verificar los datos de pago. Como mínimo, cada vez que haya un dato de pago nuevo: un nuevo IBAN porque cambie, o simplemente un nuevo proveedor. No es casual que, en los últimos tiempos, bastantes empresas hayan empezado a pedir certificados de titularidad de cuenta corriente. No es descabellado pedir uno para pagos a partir de cierto importe: el motivo, en el fondo, es la seguridad del proveedor, y esto debe ser suficiente motivo para que éste no tuerza el morro si el banco cobra un par de desayunobares por el certificado de marras.
Si estoy cobrando facturas, es conveniente poner los datos de pago en la propia factura, e incluir una nota indicando que los datos de pago consignados en la presente factura son los únicos válidos, y por favor llámenos ante cualquier duda. En segundo lugar, firmarlas digitalmente si es posible. No está de más que, al emitir una factura de cierto importe a un cliente nuevo, quien le conozca (¿el comercial?) le haga una llamada para verificar los datos. Toda oportunidad es buena para quedar bien con un cliente, especialmente si nos tiene que pagar una factura.
Por supuesto, lo ideal es que no nos intercepten el correo y hacer que impostarlo sea difícil. A esto dedicamos en Tecnocrática considerables esfuerzos: DKIM, DMARC, verificación de contraseñas débiles o conocidas, TLS y un largo etcétera.
Lo que no podemos sustituir es la saludable alerta que ha de acompañar a toda transacción monetaria importante. El frenético ritmo de trabajo que caracteriza a estos tiempos nos lleva a dar por buena información que, si lo pensamos, deberíamos recibir con una saludable dosis de escepticismo, a cambio de ahorrar una magra cantidad de tiempo. Puede que este tipo de incidentes, al menos, nos estén haciendo el favor de recordarnos que el trabajo hecho rápido y fácil, no es lo mismo que el trabajo bien hecho. Y, dado que tenemos unas responsabilidades, haremos bien en no olvidarlo.
Deja una respuesta