Estafas con emails son por mucho el ciberdelito más costoso
RICHMOND, Virginia, EE.UU. (AP) — Un frenesí de compras en Beverly Hills, unas vacaciones de lujo en México, una cuenta bancaria que pasó de 299,77 dólares a 1,4 millones de la noche a la mañana. Parecía como si Moe y Kateryna Abourched se hubieran ganado la lotería, pero esa riqueza súbita no vino de unos números con suerte.
En realidad, lo que pasó fue que un distrito escolar en Michigan fue engañado para que enviara sus pagos mensuales de seguro médico a la cuenta bancaria de un salón de manicura propiedad de los Abourched, de acuerdo con una orden de allanamiento presentada por un agente del Servicio Secreto en una corte federal.
La policía dice que el distrito escolar —y los contribuyentes— fueron víctimas de una estafa en línea conocida como Business Email Compromise (correo electrónico comercial expuesto a riesgos, o BEC, por sus siglas en inglés), un tipo de fraude en el que los delincuentes hackean cuentas de correo electrónico, se hacen pasar por otra persona o institución y engañan a las víctimas para que manden dinero a otro lugar.
La pareja dice ser inocente y no ha sido acusada aún de ningún delito.
Las estafas BEC reciben mucha menos atención que los masivos ataques con “ransomware” —en los que los hackers irrumpen en redes y codifican datos a cambio del pago de un rescate— que han provocado una fuerte respuesta del gobierno. Sin embargo, las estafas BEC han sido por amplio margen el tipo de ciberdelito más costoso en Estados Unidos durante años, de acuerdo con el FBI, al desviar miles de millones de dólares de la economía mientras las autoridades pasan trabajos para combatirlo.
Los enormes beneficios y bajos riesgos asociados con las estafas BEC han atraído a delincuentes en todo el mundo. Algunos incluso alardean de sus ganancias ilícitas en redes sociales, posando en fotos junto a autos lujosos como Ferraris, Bentleys y montones de dinero en efectivo.
“Los estafadores están extremamente bien organizados y las agencias del orden no lo están”, admitió Sherry Williams, directora de una organización sin fines de lucro en San Francisco que fue engañada recientemente por una de esas estafas BEC.
Las pérdidas en Estados Unidos por estafas BEC en 2021 fueron de casi 2.400 millones de dólares, de acuerdo con un nuevo reporte del FBI. Es un incremento de 33% frente a 2020 y de más de 10 veces comparado con apenas hace siete años. Y los expertos dicen que muchas víctimas nunca presentan denuncias y que las cifras del FBI son apenas una pequeña fracción de total del dinero robado.
“Es una de las cosas más lucrativas”, aseguró Shalabh Mohan, ejecutivo de la firma de ciberseguridad Area 1 Security.
En el caso del salón de manicura en Grand Rapids, la policía dice que fueron robados 2,8 millones de dólares. Los bancos pudieron recuperar la mitad de la suma una vez que descubrieron la estafa, muestran documentos de la corte.
En una declaración jurada como parte de una solicitud de orden de allanamiento, un agente del Servicio Secreto dijo que alguien hackeó la cuenta de correo electrónico de uno de los empleados de recursos humanos del distrito escolar y envió mensajes electrónicos que persuadieron a un colega en el departamento de Finanzas para que cambiara la cuenta bancaria donde se enviaban los pagos del seguro médico.
Los mensajes electrónicos fueron breves y corteses. “Por favor, actualice” los registros, decía uno, usando palabras que la verdadera empleada de recursos humanos nunca usa, según le dijo ella a la policía posteriormente.
La policía rastreó el dinero a la cuenta bancaria del salón de manicura propiedad de los Abourched, dijo la declaración jurada. Una vez fue detectado el robo, Moe Abourched se puso en contacto con la policía de Gran Rapids y dijo que él había sido engañado por una mujer europea llamada “Dora” para que aceptara los fondos y los enviara a otras cuentas, de acuerdo con la declaración jurada.
El agente del Servicio Secreto dijo que la versión de Abourched es falsa y que había utilizado una treta similar con la policía después de recibir dinero de otra estafa BEC contra una compañía de almacenaje en Florida.
La policía puso a la pareja bajo vigilancia y en octubre allanó su apartamento, sus oficinas y su BMW, muestran los documentos en la corte. La policía dijo este año que necesitaba más tiempo para examinar los datos en los celulares y las computadoras de la pareja.
El abogado de los Abourched, Kevin Gres, dijo que sus representados no habían cometido ningún delito y que no debían presentarse cargos. “Mis clientes fueron víctimas involuntarias en esta trama”, aseguró.
Los delincuentes que usan estafas BEC recurren a varios métodos para hackear las cuentas legítimas de correo electrónico de negocios y engañar a los empleados para que hagan pagos electrónicos o hagan compras que no debían hacer. Los correos de “phishing” (que engañan a un usuario para que revele contraseñas y otros datos confidenciales) son un ataque común, pero los expertos dicen que los estafadores han adoptado rápidamente tecnologías nuevas, como el audio generado por inteligencia artificial para hacerse pasar por ejecutivos de una compañía y engañar a los subordinados para que envíen dinero.
En el caso de Williams, la directora de la organización sin fines de lucro en San Francisco, los ladrones hackearon la cuenta de correo electrónico del contador de la compañía y a continuación se insertaron en un largo hilo de mensajes, enviando correos en los que pidieron cambiar las instrucciones de pago electrónico para alguien que ganó una beca y se robaron 650.000 dólares.
Cuando descubrió lo sucedido, Williams se puso en contacto con las agencias del orden, pero dice que sus gestiones no fueron a ninguna parte.
El FBI le dijo que la oficina local del fiscal federal no se encargaría del caso. Ella voló a Odessa, Texas, donde está el banco que recibió originalmente el dinero robado. El dinero para entonces había desaparecido y el detective local no podía hacer nada para ayudarla. Williams le pidió a senadores en Washington que intervinieran y se enteró más adelante que el Servicio Secreto estaba investigando, pero dijo que no ha recibido nueva información.
Crane Hassold, un experto en estafas BEC y exanalista de ciberdelitos con el FBI, dice que ha sabido de fiscales federales negándose a aceptar casos de estafas BEC a menos que los robos hayan sido de millones de dólares, un límite mínimo que muestra lo fuera de control que está el asunto.
“Hay tantos casos que es imposible trabajarlos todos”, admitió Hassold, que ahora es director de inteligencia de amenazas en la firma Abnormal Security.
Casi cualquier empresa es vulnerable a las estafas BEC, desde compañías en la lista Fortune 500 hasta municipalidades pequeñas. Incluso el Departamento de Estado de Estados Unidos fue engañado para que enviara a los estafadores más de 200.000 dólares en subsidios planeados para ayudar granjeros en Túnez, muestran documentos en las cortes.
En años recientes, el Departamento de Justicia norteamericano ha lanzado operaciones de meses que han resultado en centenares de arrestos en todo el mundo.
“Nuestro mensaje a los delincuentes involucrados en esos tipos de tramas BEC seguirá siendo claro: la memoria del FBI y su alcance son largos y amplios, los perseguiremos sin descanso, no importa dónde estén”, advirtió Brian Turner, subdirector ejecutivo de la división de ciberdelitos del FBI.
Sin embargo, los expertos de seguridad dicen que la ola de arrestos tuvo poco impacto y las propias cifras del FBI muestran que las estafas BEC continúan creciendo a un ritmo acelerado.
“Usted puede arrestar a 100 de ellos y no hay efecto dominó”, dijo Hassold.
Muchos de los arrestados por las autoridades estadounidenses son “mulas de dinero” de nivel inferior, que mueven el dinero de un lado a otro en el sistema bancario hasta que queda fuera del alcance de las autoridades.
Las “mulas” no necesitan saber cómo hackear y tienen antecedentes muy diversos. Un individuo en Florida, Alfredo Veloso, se declaró culpable en 2019 luego de que, informó la fiscalía, él reclutó a mujeres a las que conoció en su negocio de videos pornográficos para que fueran mulas de dinero para estafas BEC y otros ciberfraudes.
Las estafas BEC sofisticadas contra negocios y otras organizaciones comenzaron a despegar a mediados de la década de 2010. Fue entonces también que los ataques con “ransomware” comenzaron a aumentar en frecuencia y severidad.
Durante años, las estafas BEC y los ataques con “ransomware” fueron tratados mayormente como un problema de las agencias del orden. Sigue siendo así en el caso de las BEC, pero el “ransomware” es considerado ahora un asunto clave de seguridad nacional en Estados Unidos, luego de una serie de ataques contra infraestructura clave como el del año pasado contra el principal oleoducto del país, que causó escasez de gasolina en la costa este.
Los hackers contratados por la Agencia de Seguridad Nacional (NSA) han dado pasos para obstaculizar las redes de operadores de “ransomware”. El Departamento de Justicia estableció una fuerza especial para coordinar mejor la respuesta de las agencias del orden y el presidente Joe Biden ha hablado del asunto directamente con el presidente ruso Vladimir Putin, cuyo país es la base de muchos operadores de “ransomware”.
Nada cercano a eso ha sido desplegado contra los fraudes BEC, pese a las enormes pérdidas financieras.
“Es una serie de silos muy pequeños y ellos aún no han encontrado una manera de tener una fuente única contra esas cosas”, expresó John Wilson, un experto en amenazas de la firma de ciberseguridad Agari.
Si Estados Unidos lanzara una respuesta gubernamental a los fraudes BEC, casi seguramente se centraría fuertemente en Nigeria.
En ninguna otra parte son más activos los estafadores BEC que en la nación más populosa de África, donde ellos han podido operar durante décadas casi sin consecuencias. El ya gastado fraude del Príncipe Nigeriano pudiera ser una broma global ahora, pero una nueva generación está ganando fortunas usando sofisticados fraudes BEC.
Los estafadores BEC en Nigeria son glorificados en canciones pop y alardean de su fortuna en Instagram y Facebook, posando con autos de lujo y montones de dinero.
Ramon Abbas, una figura conocida de las redes sociales en Nigeria conocido como Ray Hushpuppi, tenía más de 2 millones de seguidores en Instagram antes de ser arrestado en Dubái. Los mensajes de Abbas en redes sociales lo mostraban viviendo en el lujo total, con aviones privados, coches ultra caros y ropa y relojes costosos.
“Espero un día ser la inspiración para que más jóvenes se me unan en este sendero”, decía un mensaje en Instagram publicado por Abbas, que se declaró culpable en Estados Unidos de lavado internacional de dinero en relación con fraudes BEC y otros ciberdelitos el año pasado. Será condenado en julio.
Pete Renals, un investigador de amenazas en la firma Unit 42, dijo que los delincuentes nigerianos con conocimientos tecnológicos comenzaron a aprender cómo usar el malware existente para robar identidades de víctimas alrededor de 2014. Al cambiar el software, los estafadores cambiaron también. En 2018, añadió, se comenzó a ver malware nigeriano desarrollado en el país por los propios estafadores BEC.
“No parece que haya mucho que los esté obstaculizando”, afirmó. Ellos “no ven razón para parar”.
Obinwanne Okeke era uno de los jóvenes empresarios más conocidos en Nigeria cuando fue uno de los panelistas principales en un evento organizado por la prestigiosa universidad London School of Economics.
“Si no naces con la voluntad de enfrentar retos, no podrás hacerlo”, expresó Okeke en el evento de 2018 cuando hablaba de sus esfuerzos empresariales.
Pero apenas días antes de esos comentarios, Okeke había estado ocupado enviando facturas falsas y estafando por 11 millones de dólares a la oficina de ventas en Gran Bretaña del fabricante de maquinaria pesada Caterpillar a través de un fraude BEC, de acuerdo con el FBI. Fue arrestado en 2019 en el aeropuerto Dulles, en las afueras de Washington. Se declaró culpable de fraude por medios electrónicos un año más tarde y cumple ahora una sentencia de 10 años en prisión.
Los estafadores BEC arrestados por las autoridades en Nigeria a menudo tienen mejor suerte y ganan su libertad pagando multas y sobornos, dicen los expertos. Adedeji Oyenuga, profesor de Sociología en la Universidad estatal de Lagos y que ha estudiado la cultura del ciberdelito, dijo que hay poco temor entre los estafadores BEC de ser castigados.
“La persona camina por las calles libremente, a sabiendas de que nadie va a decir nada sobre lo que está haciendo”, declaró Oyenuga.
En el caso de Hushpuppi, los fiscales estadounidenses imputaron también a Abba Kyari, un alto funcionario de la ley y el orden en Nigeria, que dicen que secuestró a uno de los principales rivales de Abbas. Kyari sigue en Nigeria, donde la prensa dice que ha sido detenido por cargos separados relacionados con el narcotráfico.
Doug Witschi, director asistente de la organización policial global Interpol, dijo que las compañías tecnológicas que facilitan los delitos BEC tienen que ser más activas para frenar esa conducta. “No podemos resolver esto simplemente con arrestos”, advirtió.
A diferencia de los operadores de “ransomware”, que tratan de mantener privadas sus comunicaciones, los estafadores BEC a menudo intercambian servicios abiertamente, comparten consejos y recomendaciones o alardean de sus riquezas en redes sociales como Facebook y Telegram.
Un grupo en Facebook llamado Wire Wire.com, que hasta hace poco estaba abierto a todo el mundo con una cuenta en Facebook, actuaba como foro de mensajes para que las personas ofrecieran servicios relacionados con las estafas BEC y otros ciberdelitos.
La página, que tenía una foto de portada de una bolsa llena de dinero, fue creada en el 215 y tenía más de 1.400 miembros. Fue eliminada poco después de que The Associated Press le preguntó a Facebook sobre ella el mes pasado. La compañía declinó hacer comentarios.
En el caso del dinero robado en Michigan, fueron las redes sociales las que ayudaron a las autoridades cuando pidieron a un juez federal que aprobara una orden de allanamiento.
Incluido en la solicitud estaba un mensaje de vacaciones colocado en Instagram por Kateryna Abourched, que vinculaba el momento de su viaje con un pago de 3.503 dólares a un centro turístico de lujo en México, hecho desde una cuenta que recibió el dinero robado en Grand Rapids.
“Una vacación es siempre inspiradora”, escribió la mujer en Instagram.