El Phishing, vocablo inglés utilizado para definir una suplantación de identidad, se ha convertido en los últimos años en una de las prácticas más frecuentes para intentar adquirir información confidencial de forma fraudulenta (como puede ser una contraseña, información detallada sobre tarjetas de crédito u otra información bancaria).
En el supuesto de que haya sido víctima de una estafa de este estilo, le recomendamos actuar de forma inmediata. Nuestra experiencia confirma que las posibilidades de recuperar el importe estafado aumentan exponencialmente si se inician los procedimientos legales pertinentes de modo inmediato.
Desde las oficinas de Net Craman Abogados en Hong Kong y Guangzhou (China) hemos gestionado un cuantioso número de casos de estafas por Phishing, que afectan tanto a PYMEs como a grandes empresas.
Uno de los casos más frecuentes es la intervención de las comunicaciones de email entre vendedor-comprador. El hacker crea cuentas de correo electrónico con sutiles modificaciones que, en el marco de una relación comercial consolidada, no despierta recelo alguno. Por ejemplo:123@net.carman.com en lugar de 123@net-craman.com. Esta ficción se mantiene durante unos meses, en los que el hacker copia los emails recibidos del proveedor y los envía desde la dirección falsa, haciendo lo mismo en sentido inverso. Finalmente, envía al comprador una factura modificada, con su propia cuenta bancaria. Las empresas más vulnerables a este tipo de estafa son las que no cuentan con un contrato adecuado, y sustentan las operaciones en base a órdenes de compra.
En estos casos es importante tomar medidas al respecto, independientemente de las posibilidades de recuperar la cantidad estafada. Ambas partes son víctimas de un delito, y es frecuente que una sospeche de la otra. Se dan situaciones en que la parte china plantea una demanda por estafa a la española, que puede acabar viéndose obligada a realizar nuevamente el pago, además del coste que un proceso judicial implica.
Otro esquema frecuente es la suplantación del email de un alto cargo de la empresa. El email es exactamente el mismo, por lo que no despierta sospechas en el empleado. El esquema se repite en varios casos: el CEO escribe al financiero o contable, indicándole que están en medio de una operación de gran importancia relacionada con China, y que no puede comentarla con nadie, ni siquiera con el propio CEO. Toda la comunicación debe desarrollarse por escrito, a través del supuesto email personal del CEO (este ya es falso). Para dar mayores visos de verosimilitud, le pone en contacto con el consultor responsable de la operación (por ejemplo, alguien de KPMG, cuyo email es xxx@kpmg.accountants.com en lugar de la dirección correcta). El hacker intenta que la víctima no reflexione (para que no advierta por ejemplo expresiones lingüísticas distintas), por lo que la somete a continua presión, insistiendo en la importancia de la operación para la compañía y la urgencia en los pagos para que se lleve a cabo. Las cantidades en estos casos son siempre altas: desde 500.000€ a millones.
Como decíamos anteriormente, conviene actuar con la mayor celeridad posible de cara a recuperar la cantidad defraudada – o, al menos, parte de ella -. Resulta muy importante tener presente que solamente una orden judicial autoriza el bloqueo de la cuenta bancaria empleada fraudulentamente, así como conocer el saldo de la misma. Por tanto, es necesario ponerse en manos de un abogado especializado en la materia de cara a minimizar el daño patrimonial ocasionado.
