La Policía está investigando a tres personas acusadas de estafar más de 76.000 euros tras usurpar la identidad de una empresa y negociar un contrato de esponsorización en el marco de la competición de Moto GP.
El Equipo de Investigaciones Tecnológicas (Edite) de la Unidad Orgánica de Policía Judicial de la Comandancia de Valencia indica que la investigación inició a raíz de una denuncia presentada en abril por una empresa con sede en Singapur, representada en España a través de un despacho de abogados con sede en la provincia de Valencia.
En su denuncia, expusieron haber sido víctimas de una estafa, en la que los autores de los hechos habrían usurpado la identidad a través de medios electrónicos de una empresa con sede en Dubái, y con la que estaban estableciendo negociaciones para la formalización de un contrato de esponsorización en el marco de la competición de motociclismo del Gran Premio de Motociclismo (Moto GP).
Para la usurpación de la identidad de la empresa con la que la perjudicada estaba ultimando su contrato, los ciberdelincuentes dieron de alta un dominio web que simulaba el dominio original y en el que únicamente se cambiaba una letra por otra, haciendo casi imperceptible dicho cambio en los correos electrónicos, para posteriormente interferir en las comunicaciones electrónicas establecidas entre ambas empresas.
Utilizaban los nombres de dos de los trabajadores de empresa y empleaban expresiones características de éstos, lo cual puso de manifiesto que los autores estuvieron monitorizando los correos electrónicos durante un periodo de tiempo considerable esperando el momento adecuado en el que intervenir para acabar sustituyendo la cuenta de pago para el dinero destinado a la esponsorización que se iba a llevar a cabo, más de 76.000 euros, a una cuenta bancaria con sede en España.
El método que utilizaron los autores fue el del Fraude al CEO, una modalidad de la estafa conocida como Bussines Email Compromise (BEC), que consiste en que los autores de los hechos engañan a un empleado con acceso a las finanzas para que realice una transferencia a una cuenta que cree que es de un cliente o proveedor, pero el dinero acaba en la cuenta bancaria de la organización criminal.
Para ello utilizan malware y técnicas de spear phishing para acceder a la red corporativa. Una vez dentro, examinan durante semanas los sistemas de facturas, las listas de proveedores o clientes de las empresas, llegando a copiar los usos y expresiones que utiliza la persona (CEO) cuyos datos van a utilizar.
Aprovechando el momento oportuno (momentos de ausencia del CEO o de una importante operación) suplantan su identidad y envían un email en el que solicitan una transferencia a una cuenta de un proveedor o cliente que parece legítima.
Una vez el capital se encuentra en la cuenta perteneciente a la organización criminal, se inicia el proceso de blanqueo de capitales con el fin de evitar que este dinero pueda ser bloqueado en la cuenta en la que ha sido depositado.
