Javier Anula
Sociedad
La Policía alerta de un aumento de la estafa 'man in the middle': ¿en qué consiste?
El modus operandi se basa en suplantar la identidad en una comunicación por correo electrónico
Los ciberdelincuentes utilizan numerosas técnicas para robar información de los usuarios y después utilizarla con fines maliciosos. Uno de estos métodos es el llamado ataque 'man in the middle' o ataque de intermediario.
La Policía Nacional alerta a las empresas de un nuevo repunte de la estafa 'man in the middle'. El modus operandi se basa en que el supuesto hacker intercepta la comunicación entre dos o más empresas, que realizan de manera habitual transferencias de importantes cantidades de dinero, suplantando la identidad de una u otra según cuál sea su objetivo en ese momento.
Normalmente informan de un cambio del número de cuenta bancaria en el que a partir de ese momento se deberán realizar los pagos, tratándose de una cuenta que está a nombre de una persona que actúa de mero intermediario, que cobra el dinero y se lo hace llegar a otros miembros de la organización criminal a cambio de un porcentaje previamente pactado entre ellos.
El grupo de delitos tecnológicos de la Jefatura de Policía Nacional ha tenido constancia de la interposición en las últimas semanas de varias denuncias y llamadas de víctimas que decían haber sido estafadas con un mismo método ya conocido por los agentes.
¿En qué consiste la estafa 'man in the middle'?
Una estafa 'man in the middle' se produce cuando un hacker interviene en la transmisión de datos entre dos partes que realizan una comunicación electrónica. El ciberdelincuente se hace pasar por cualquier de ellas o por las dos, «secuestrando» los datos y haciendo creer a las partes que se están comunicando entre ellas, cuando en realidad no es así, y es el hacker quien actúa como intermediario de esa comunicación.
Con un ataque 'man in the middle', el ciberdelincuente intercepta la comunicación entre dos partes, haciéndose pasar por alguna de ellas y haciéndoles creer que se están comunicando de forma directa.
Este tipo de estafas no son exclusivas del mundo online. Imagina un cartero que lee tu correspondencia antes de entregársela a sus destinatarios o que, incluso, llegase a modificar al contenido de las cartas. Ese sería el concepto básico de un ataque de intermediario. Sin embargo, es cierto que este tipo de técnicas se utilizan principalmente en el entorno online.
A través de este tipo de fraudes pueden informar de un cambio del número de cuenta bancaria en el que a partir de ese momento se deberán realizar los pagos pero también pueden descifrar la información enviada en una comunicación y utilizarla con diversos fines maliciosos como, por ejemplo, robar los datos de la víctima o llevar a cabo chantajes y extorsiones.
Consejos para evitar este tipo de estafas
La Jefatura Superior de Policía de Aragón da algunos consejos para evitar este tipo de estafas. El perimero de ellos es dar especial importancia a las medidas de seguridad informática de la empresa mediante el uso de un antivirus. Además, se debe actualizar continuamente el software de los equipos informáticos y proteger la red wifi con contraseñas robustas.
Otro aviso es advertir al personal de la empresa, en especial al área que se encarga de la contabilidad, de las estafas que pueden producirse para que se mantengan en continua alerta.
Antes de realizar cualquier pago, se recomienda confirmar con la empresa que lo solicita la veracidad de dicha transacción, vía telefónica o incluso por videoconferencia. Asimismo, se debe contrastar si de pronto llegan instrucciones por correo electrónico de un cambio en la cuenta a la que realizan los pagos habitualmente.
Del mismo modo, avisan de que se debe sospechar de los correos electrónicos que contengan errores ortográficos que nos llamen la atención o que contengan enlaces que nos deriven a una factura o a algo similar.
Si ya se ha realizado algún pago y se sospecha de haber sido víctima de esta estafa o cualquier otra, se debe informar de inmediato a la Policía Nacional, aportando todos los correos y datos que se tengan de los estafadores.