En los últimos días del año, antes de Navidad y de Año Nuevo, los departamentos contables de un gran número de empresas suelen estar bastante ocupados, especialmente aquellos donde el final del año fiscal coincide con el final de año. Los contables están muy ocupados con la elaboración de informes financieros, planificando la inversión para el próximo año financiero, etcétera. A todo ello se le suma la fiebre festiva en el que suelen darse muchas celebraciones empresariales y los trabajadores suelen estar algo menos concentrados en sus trabajos. Así que, por ello, los ciberdelincuentes aprovechan esta situación activando el envío de facturas falsas a empleados aleatorios de la compañía, con la esperanza de que acepten el pago en medio de una avalancha de documentos.
Señales de un correo electrónico fraudulento
En primer lugar, el mero hecho de que el correo electrónico sea enviado a un empleado cualquiera, y no directamente al departamento financiero, ya debería ser una señal que hiciese saltar las alarmas. Los delincuentes generalmente no tienen manera de obtener la dirección del correo electrónico de los contables de una compañía; suelen, por tanto, usar bases de datos de correos basura, que se componen principalmente por contactos de acceso público. Por esta razón, las personas que suelen recibir ese tipo de correos electrónicos son aquellas que trabajan en los departamentos de recursos humanos, relaciones públicas o soporte técnico, entre otros.
A veces los remitentes de los correos electrónicos fraudulentos escriben que han perdido la dirección correcta, o que han cometido un error al anotarla, y por ello preguntan si la persona que ha recibido el correo electrónico puede reenviar la factura al departamento de contabilidad, o incluso hay veces en las que ni se molestan en dar una posible explicación. De todos modos, esta no debería ser una excusa para enviar un correo a una dirección cualquiera. Si una persona de la compañía realmente necesita esa factura, se pondrá en contacto con el remitente, averiguará las razones del retraso en la entrega y, si fuera necesario, especificaría la dirección de correo electrónico del departamento de contabilidad.
Reenviar correos electrónicos inesperados a compañeros de trabajo puede ser más perjudicial que beneficioso, ya que, si ese correo electrónico fraudulento ha sido reenviado por un compañero de trabajo, es mucho más probable que se consiga el objetivo para que el que fue creado. Si reenvías una factura a los contables, pueden pensar que quieres que te la paguen. Y, en general, un correo electrónico de un empleado de la misma compañía es mucho menos sospechoso que si se trata de un correo electrónico externo.
En segundo lugar, los delincuentes entienden que exigir una gran cantidad de dinero no es buena idea. Es muy poco probable que una factura de ese tipo se pague sin más explicaciones. Por esa razón las facturas que se emiten son cantidad tan pequeñas que son insignificantes para las grandes compañías.
En tercer lugar, en la gran mayoría de los casos este tipo de facturas corresponden con servicios de reparto. Además, el texto del correo electrónico está escrito de manera imprecisa para que no quede claro si la factura ha sido remitida por el remitente de esos documentos o por la empresa de reparto.
¿Con qué cuentan los estafadores?
Como hemos mencionado anteriormente, los delincuentes cuentan con la existencia de una gran carga de trabajo a final de año, una falta general de atención y la “ayuda” de personas no especializadas que reenvían esos correos electrónicos al departamento contable. Pero la principal razón por la que funcionan este tipo de estafas en la impunidad a nivel legal. Los estafadores registran el nombre real de una compañía y envían facturas. Legalmente, se trata de un servicio pagado, pero no prestado. Sin embargo, si una persona llevase esto a los tribunales, probablemente sería declarado culpable. Pero ¿acudiría realmente alguien a juicio por una cantidad de dinero insignificante?
Si intentas buscar en internet el nombre de la empresa que emitió la factura, probablemente encontrarás un gran número de comentarios de empresas indignadas que fueron engañadas de una manera similar. Es de suponer que, de vez en cuando, los delincuentes cambien la entidad jurídica por sumas insignificantes: cierran una empresa alegando quiebra y abren otra nueva.
¿Cómo mantenerse a salvo?
Para empezar, claramente recomendamos usar soluciones de seguridad efectivas ante el fraude tecnológico para correos electrónicos corporativos. Por regla general, los atacantes suelen enviar estos correos electrónicos de manera masiva, lo que nos permite clasificarlos a tiempo como spam.
Además, es recomendable informar a los empleados de que recibir correos electrónicos inesperados de destinarios desconocidos solicitando información personal es una clara señal de que se trate de una acción fraudulenta. Y si quieren reenviarlo a algún sitio, deben hacerlo únicamente al departamento de seguridad con algún comentario que indique que se trata de un posible fraude.
Lo ideal es aumentar periódicamente la concienciación de los empleados en materia de seguridad; por ejemplo, utilizando la plataforma automatizada en línea Kaspersky Automated Security Awareness Platform. Esto permitirá a los empleados estar preparados en el caso de recibir correos electrónicos inesperados de atacantes, ya sean simples correos fraudulentos o más sofisticados de spear-phishing.