• 5/11/2024

Alerta en empresas por el "phishing", la estafa informática que ya afectó a Baggio y Boca Juniors

Cada minuto se registran 49 ciberataques en la Argentina, y en la mayoría de los casos se trata de este engaño digital que llega por e-mail u otros canales
04/02/2020 - 06:37hs
Alerta en empresas por el "phishing", la estafa informática que ya afectó a Baggio y Boca Juniors

¿Qué tienen en común Baggio y Boca Juniors? No se trata de Roberto Baggio, el gran ex futbolista italiano que en 2017 fue a la Bombonera, donde no lo reconoció nadie aunque se declaró hincha del club xeneize, sino de la famosa marca de jugos y bebidas de origen entrerriano.

Tanto esta empresa como el club fueron víctimas en el último medio año de uno de los delitos más comunes basado en las tecnologías de la información y la comunicación: la estafa cibernética, conocida en la jerga como "phishing".

Según informó a iProfesional la empresa de seguridad informática Kaspersky, cada minuto se registran 49 ciberataques en la Argentina, y en la mayoría de los casos se trata de este engaño digital con el que se intenta convencer a usuarios de registrar sus datos secretos en páginas falsas armadas por piratas informáticos.

Un robo jugoso

El domingo se hizo pública, a través de una carta publicada en diversos medios, la denuncia que la empresa de jugos RPB (más conocida como Baggio) realizó por la desaparición y supuesto robo de 7 millones de dólares.

Según una solicitada publicada el domingo y el lunes en medios gráficos, el directorio de la firma denunció que la empresa fue víctima de "phishing", pero los accionistas hablan de un "vaciamiento" que pondría en riesgo miles de empleos: los más de 1500 empleados directos y quienes trabajan en sus proveedores.

Víctima de los engaños informáticos, la empleada habría transferido ese dinero a varias cuentas en el exterior, según la denuncia por estafa radicada el 2 de enero en la Comisaría Séptima de Gualeguaychú, una causa que investiga el fiscal Guillermo Biré.

La denuncia fue radicada por una empleada de la firma que realizó las transferencias por ese monto millonario en concepto de servicios, como se le habría solicitado a través de mensajes por correo electrónico que provenían supuestamente desde la dirección RPB.

La empresa es manejada por la familia fundadora. María Celia Munilla y Rufino Pablo Baggio crearon la compañía hace 60 años en la ciudad entrerriana de Gualeguaychú, y al fallecer el segundo, las acciones se repartieron en partes iguales entre sus cuatro hijos, aunque el usufructo fue retenido por la fundadora.

Una de las hermanas vendió su parte a su hermano Rufino, quien detenta ahora el 50% del control de la compañía. Pero María Celia Munilla delegó la gestión en otro de sus hijos, Alejandro, generando así tensiones entre ambos hermanos por la compañía, en la que trabajan más de 1500 empleados, en 5 plantas industriales, y cuya producción se vende en la Argentina y otros 72 países del mundo.

"La estafa, no obstante ser importante, representa un porcentaje no significativo en relación a nuestra facturación mensual, resultando irrelevante para la normal actividad comercial, financiera e industrial de RPB S.A", aseguró la empresa en su solicitada, donde también precisó que "la magnitud económica del hecho representa tan solo el importe de seis días de facturación".

Un pase en el limbo

En el caso de Boca Juniors, involucró a este club y a otra entidad deportiva, que fueron víctimas de ciberdelincuentes al ser despojados de un poco más de medio millón de euros en una transacción en la que estuvieron involucradas dos empresas mexicanas y que pone de relieve el riesgo que representan las tácticas de ingeniería social para las organizaciones.

A principios de 2019 se dio a conocer que Leandro Paredes, centrocampista que jugaba en el Zenit de Rusia, había sido transferido al club Paris Saint Germain, lo que involucraba 40 millones de euros.

Según las normas de la FIFA, al primer club de Paredes, el Boca Juniors, le correspondía un porcentaje (aproximadamente un 3.5%). En concreto, 1,299,377.48 euros por los derechos de formación.

El Paris Saint Germain y Boca Juniors acordaron el pago en tres cuotas. La primera estaba prevista para el 6 de marzo de 2019, pero el club xeneize nunca recibió los casi 520 mil euros que el club francés aseguró que envió.

Al no verse reflejado el dinero en la cuenta de Boca, en la Bombonera empezaron a revisar los intercambios de correos y documentos que el Paris Saint Germain envió como prueba de haber realizado el pago.

En uno de los documentos adjuntos que confirmaba la transferencia, se descubrieron correos provenientes supuestamente del personal del Boca Juniors que presentaban ligeras modificaciones imperceptibles a simple vista.

Se trataba de una sola letra que diferenciaba la dirección del correo electrónico fraudulento del legítimo. Y las instrucciones que llegaron desde estas direcciones ficticias contenían datos falsos.

Tras analizar los documentos, Boca Juniors descubrió que su dinero había pasado primero por una cuenta bancaria de la ciudad estadounidense de New York que pertenecía a una empresa mexicana llamada Vector Casa de Bolsa y que luego se envió a México, esta vez a una cuenta bancaria de la compañía OM IT Solutions S.A. de C.V., empresas desconocidas para el club xeneize.

El robo fue denunciado por Boca durante la gestión de Daniel Angelici, cuyo sucesor, Jorge Amor Ameal, acusó en diciembre de 2019 en una conferencia de prensa: "Descubrimos que hay 600 mil euros (sic) que deberían haber entrado y se los llevó un hacker. No había información y el periodismo tiene derecho a la información, así como también lo teníamos nosotros", argumentó Ameal, quien entregó el siguiente papel donde la cifra es de medio millón de euros:

"Fraudes financieros como este dejan ver el gran trabajo de planeación por parte de los cibercriminales. La ingeniería social involucra una serie de técnicas, como el phishing, que aparentan provenir de entidades legitimas para obtener información sensible de sus víctimas o para convencerlos a realizar algún tipo de acción que comprometa su sistema", señaló Roberto Martínez, analista senior de seguridad en Kaspersky Lab. "Las consecuencias de tales ataques pueden ir desde la pérdida de dinero hasta el compromiso de toda una red corporativa", advirtió el especialista.

Técnicas de estafas

Los delincuentes utilizan técnicas básicas para estas estafas, que apuntan a duplicar páginas de entidades bancarias en procura de capturar claves. Otros sistemas buscan conseguir información sensible mediante el uso de lo que se conoce como ingeniería social.

De acuerdo al último informe de Kaspersky que envió esta empresa a iProfesional sobre la delincuencia informática en América latina, la Argentina tuvo una cuota alta de delitos mediante una sucesión de avances de phishing que apuntaron al robo de claves para ingresar en el "home banking" de las víctimas.

Los ataques a la banca electrónica vienen en aumento desde 2018 y se espera, incluso, un incremento de las amenazas cibernéticas. Según la última encuesta de Amenazas Persistentes Avanzadas (APT) que cada año elabora Kaspersky, el panorama de los ataques dirigidos cambiará en los próximos meses.

Santiago Pontiroli, analista de la firma, informó que entre los problemas más graves previstos para este año figuran estafas más elaboradas para recaudar fondos a través de phishing dirigidas a usuarios de sitios de compraventa digital, así como de intercambio de criptomonedas.

Según Kaspersky, en 2019 hubo un promedio de 4509 ataques de phishing por día en el país, mientras que la región tuvo un 35% de crecimiento en comparación con 2018.

Pontiroli precisó que en la Argentina se destacan sobre todo ataques de phishing a sistemas de billeteras digitales, bancos y para el robo de cuentas de sitios de entretenimiento.

Prevención

El phishing apunta al componente más débil en una organización, que suele ser su personal, como en los casos de Baggio y Boca, y es a través de ellos que los estafadores cibernéticos intentan ingresar para cometer actos delictivos.

¿Por qué sigue siendo la técnica más popular para los piratas informáticos? Porque aborda el componente más débil de la organización: las personas. El phishing no se limita al correo electrónico; hoy los hackers usan servicios de mensajería, como WhatsApp, Facebook, Messenger, incluso el vetusto SMS.

¿Cómo identificar un e-mail sospechoso? En general es recibido sin ser esperado o sin una razón clara.  Además, pueden ser intimidatorios, invitar a tomar una acción inmediata o, por el contrario, pueden simplemente despertar curiosidad.

Los siguientes datos deben tomarse en cuenta:

* Errores de escritura y gramática. Los mensajes de phishing por correo electrónico tienen una apariencia poco profesional, a diferencia de los genuinos que pretenden imitar.

* Presentaciones incorrectas o generales. Los e-mails e phishing suelen comenzar con "Estimado Sr./Sra." o "Estimado Cliente", ya que los estafadores no saben quién es realmente el destinatario.

* Errores de uso regional. Pueden llegar a utilizar símbolos de moneda incorrectos, formatos de fecha inusuales o palabras que un remitente original no utilizaría.

* Enlaces web incorrectos o poco probables. Los correos de phishing generalmente dependen de que el usuario haga clic en un dominio web diferente del sitio original.

Por supuesto, no todos los estafadores cometen estos errores, por lo que si sólo se confía en que habrá presencia de estos errores obvios, es probable que el usuario quede atrapado.

Para aumentar la protección, se recomienda seguir estas prácticas:

* No ingresar contraseñas en las páginas de inicio de sesión que aparecen después de hacer clic en un enlace de un correo electrónico.

* Marcar las páginas de inicio de sesión oficiales de sitios favoritos o escribir las URL manualmente desde el navegador.

* Evitar abrir archivos adjuntos en correos electrónicos de destinatarios desconocidos, incluso si trabaja en áreas donde se suelen utilizar muchos archivos adjuntos.

* No ignorar alertas de buscadores acerca de sitios inseguros y formularios para ingresar datos. Las páginas desencriptadas son típicos signos de un estafador o de un operador que no está en conocimiento de la seguridad.

Temas relacionados