El método 'BEC': así funciona la estafa que casi cuesta 243.000 euros a dos entidades riojanas

La Guardia Civil ha investigado a siete personas --tres hombres y cuatro mujeres, con edades comprendidas entre los 24 y los 36 años y de distintas nacionalidades-- como presuntas autoras, en distintos grados de participación, de delitos de estafa y blanqueo de capitales.

Los implicados residen en las provincias de Ávila, Ciudad Real, Jaén, Málaga, Santa Cruz de Tenerife y Valencia. La investigación, desarrollada por especialistas del Equipo de Delitos Tecnológicos y del Equipo @ de la Guardia Civil en La Rioja, se inició tras la denuncia presentada por una empresa y una entidad religiosa, ambas víctimas de una estafa mediante el método conocido como Business Email Compromise (BEC).

'Modus operandi'

El BEC se basa en el acceso no autorizado a cuentas de correo corporativas de empresas, proveedores o directivos. Mediante esta intrusión, los ciberdelincuentes rastrean de forma silenciosa las comunicaciones para estudiar los procesos de facturación y los calendarios de pago. En esta operación, los autores comprometieron las credenciales de acceso para infiltrarse en el flujo de correos entre las víctimas y sus proveedores habituales.

Tras analizar discretamente el intercambio de mensajes, detectaron el envío de una factura legítima; en ese momento, interceptaron el documento y sustituyeron el número de cuenta bancaria original por uno controlado por la organización. Mediante este engaño, lograron que las víctimas transfirieran un total de 243.718 euros --repartidos en dos pagos de 124.868 y 118.850 euros-- a cuentas gestionadas por la red criminal, creyendo que cumplían con sus obligaciones comerciales habituales.

Las diversas actuaciones permitieron a los agentes analizar la huella digital de los autores --incluidos accesos, direcciones IP y patrones de comportamiento--, así como realizar un exhaustivo seguimiento del dinero. Este trabajo facilitó la identificación de una compleja red de cuentas bancarias utilizadas para canalizar y blanquear los fondos estafados. Las actuaciones, junto con los investigados, han sido puestas a disposición de la autoridad judicial.

Recomendaciones

La combinación de análisis técnico avanzado, inteligencia financiera y la estrecha colaboración con las entidades bancarias afectadas resultó determinante para bloquear los movimientos y lograr la recuperación íntegra del dinero estafado, evitando un grave perjuicio económico a las víctimas.

Entre los consejos para evitar estas estafas figuran verificar siempre cualquier cambio en los datos bancarios mediante una llamada telefónica a un contacto conocido; revisar con atención las direcciones de correo electrónico, especialmente pequeñas variaciones en dominios o letras, activar sistemas de doble verificación en cuentas de correo corporativas, limitar la información sensible compartida por correo electrónico, establecer protocolos internos de validación para transferencias de elevado importe, formar al personal en la detección de correos fraudulentos y ciberamenazas y ante cualquier sospecha, contactar con la entidad bancaria y denunciar.