El aviso del Banco de España con la estafa en el pago de las facturas: así funciona el BEC
Los ciberdelincuentes suplantan la identidad del proveedor encargado de emitir las facturas. Después, cambian el IBAN en el que hay que hacer el ingreso.
El fraude del correo electrónico corporativo (BEC por sus siglas en inglés) es una estafa a la que recurren los delincuentes para suplantar la identidad de un proveedor que emite pagos de facturas mediante transferencias. Los ciberdelincuentes siguen una serie de pasos para poder llevar a cabo el fraude.
En primer lugar, los delincuentes consiguen acceder al correo de la víctima, normalmente al descifrar la contraseña. Después encuentran la información relacionada con las facturas recibidas, modifican el IBAN de la cuenta a la que se debe hacer el ingreso, y así terminan de engañar a las víctimas.
Si eres una de ellas y has hecho un ingreso a una cuenta falsa, es necesario que contactes con tu banco lo más rápido posible para tratar de solucionar el delito y conseguir traer el dinero de vuelta.
¿Qué hago si soy víctima de un BCE?
“Las transferencias son mandatos de pago irrevocables y las entidades no están facultadas para ordenar la devolución sin el consentimiento del titular que se ha beneficiado. Ahora bien, de conformidad con las buenas prácticas y usos financieros, a la entidad se le exige que haga esfuerzos razonables para tratar de recuperar el importe transferido, contactando con el banco receptor”, indica el Banco de España.
Tras esto, el Instituto Nacional de Ciberseguridad aconseja reportar el incidente adjuntando el correo fraudulento y sus adjuntos para su análisis a INCIBE-CERT (incidencias@incibe-cert.es), de manera que llegue con las cabeceras originales. Además, es necesario denunciar el incidente para que se investigue el origen del delito ante las Fuerzas y Cuerpos de Seguridad del Estado.
“Si han tenido acceso a nuestro correo electrónico (o a los datos de algún cliente), se ha producido una brecha de seguridad (según el artículo 33 del RGPD) y puede que se hayan visto afectados datos personales. Si es así, el responsable del tratamiento de la empresa tiene que notificar el incidente antes de 72 horas a la Autoridad de control competente, la AEPD o similar en tu comunidad”, explica INCIBE.