El timo del nigeriano, corregido y aumentado

A todo el mundo, más o menos, le suena al menos una variante del timo que los cibercriminales nigerianos, para desgracia de su marca país, han popularizado:

  • Soy un rico heredero y te daré una comisión de un millón por ayudarme a sacar del país mis otros cincuenta y siete.
  • Necesito ayuda para comprar productos y pago generosamente por este trabajo
  • Etc, etc.

Las variaciones son muchas y, afortunadamente para nosotros, poco eficaces: Mandan habitualmente sus mensajes en inglés, esperando dar con un angloparlante con más dinero que astucia, y empezar a sangrarlo poquito a poco so pretexto de comisiones y mordidas que hay que pagar hasta poder echar mano de la recompensa final que nunca llegará.

Últimamente, sin embargo, algunos cibercriminales se han sofisticado y, digamos, expandido mercados. Ya no buscan víctimas especialmente vulnerables, que resulten lo bastante crédulas para tragarse una historia. El nuevo timo es más peligroso: Ha llegado la versión española del “timo del CEO”.

Desde nuestro punto de vista, la cosa empieza de una manera casi inocente: A unos pocos usuarios de una empresa, les roban su clave del correo. Sucede con frecuencia y por mil motivos: Que si se han conectado en el bar, que si le han dejado el ordenador a los niños, que si se han conectado “solo un momento” para ver el correo en un café…

Tradicionalmente, estas claves robadas se empleaban, por parte de los cibercriminales, para enviar algo de spam. Detectado el spam, se procedía a cambiar la clave al usuario afectado, a administrarle la apropiada admonición, y la vida seguía.

Sin embargo, ahora ya no envían spam.

Lo que hacen es estudiar. Configuran un reenvío automático de todos los correos robados y se ponen a estudiar. Estudian quién es quién en la empresa. Quién habla con quién y cómo. Y, sobre todo, quiénes son los proveedores y quién paga las facturas.

Y cuando lo tienen perfectamente estudiado, esperan su oportunidad… Y entonces, atacan.

Su oportunidad aparece en forma de una factura algo elevada, remitida (como ya es costumbre) por correo electrónico por el proveedor. Esta factura es interceptada, se añade una nota indicando una nueva cuenta de pago, y remitida a su destino.

El administrador/financiero/administrativo, sin sospechar nada, recibe una factura que se espera, por el importe esperado del proveedor esperado. Únicamente avisan de un cambio de cuenta. Algo relativamente normal, ¿no es cierto?

La cuenta, sin embargo, es de un cómplice de los criminales (que lo puede ser a sabiendas, o no) y sus instrucciones consisten en remitir lo que caiga en la misma, menos una “comisión”, a los criminales. Estos últimos no pueden tenerlo ya en este punto más fácil: En otro continente, y habiendo hecho su “trabajo”, no tienen sino que esperar, sentados en casa, a que la mula haga su parte y les mande los beneficios de la operación.

En Tecnocrática, hemos desarrollado algunas heurísticas que nos permiten detectar la mayor parte de estos procesos, y así avisar a los clientes antes de que los criminales ejecuten su ataque. El día en que publicamos la presente, sin ir más lejos, hemos detectado seis.

Por supuesto, nuestras herramientas, aunque afinadas y útiles, no son perfectas, ni pueden suplir la saludable dosis de mosqueo que ha de aparecer cada vez que un proveedor cambie una cuenta, o un jefazo pida urgentísimamente que se haga un pago que no puede esperar, o cualquier otra cosa inusual.

Los tiempos que corren son apasionantes, y la velocidad en hacer cualquier cosa, desconocida antes de la era de la información. Pero, como siempre, los criminales encuentran formas de abusar de la buena fe de la mayoría. Solo la buena herramienta, la diligencia y el buen hacer, son definitivas en la defensa frente a los cibercriminales.