La Policía Nacional consiguió bloquear una cuenta bancaria utilizada por los cibercriminales que había recibido dos transferencias fraudulentas, por un importe total de unos 223.600 euros, de dos empresas víctimas de estafa por el modus operandi ‘Man in the middle’ también conocido como estafa ‘Business E-Mail Compromiso’ (BEC).

A finales del mes de octubre del 2021 se recibió una denuncia en la Comisaría de Policía Nacional de Valladolid por parte de una empresa víctima de una estafa por importe de unos 222.400 euros. La empresa vallisoletana damnificada tenía que abonar una factura a una empresa sita en Valencia por dicho importe, lo que realizó a un número de cuenta bancaria facilitado supuestamente por la empresa valenciana por medio de correo electrónico.

Sin embargo, pasados unos días, desde Valencia se pusieron en contacto telefónico con un representante de la empresa vallisoletana comunicándole su extrañeza al no recibir el dinero adeudado, comprobándose que la cuenta a la que se había ordenado la transferencia no pertenecía en realidad a la empresa receptora.

Cinco fases

El modus operandi de este tipo de estafas se desarrolla en cinco fases. Primera fase: selección del objetivo: la organización seleccionó un objetivo entre distintas empresas, obteniendo los datos de fuentes públicas. Segunda fase: acceso ilegal: a través de diferentes métodos accedieron a las comunicaciones que la empresa vallisoletana mantenía con su proveedor de Valencia a través de email.

Tercera fase: observación de las comunicaciones: en esta fase los criminales comprobaron que la empresa de Valladolid tenía pendiente un pago por un importe de 222.400 euros a la empresa valenciana.

Cuarta fase: suplantación de identidad: la organización criminal envió un email a la empresa vallisoletana suplantando el de su proveedor y en los mismos términos que lo hacía habitualmente este, en el que se le pedía que realizara la transferencia a una cuenta que en realidad estaba controlada por los ciberestafadores.

Quinta fase: consumación de la estafa: el representante legal de la sociedad realizó la transferencia a la cuenta indicada, consumándose el engaño y la estafa.

Investigación

El Grupo de Investigación Tecnológica de la Comisaría de distrito de Valladolid pudo comprobar que en la cuenta abierta por los cibercriminales efectivamente se habían transferido los 222.400 euros por parte de la empresa de Valladolid y además localizaron otro pago de 1.260 euros procedentes de otra empresa estafada.

Debido a la rapidez de la actuación de los agentes los cibercriminales no habían llegado a disponer de dichas cantidades, por lo que se procedió a su bloqueo inmediato. La empresa que había realizado el pago de los 1.260 euros era una empresa afincada en Madrid y fue alertada desde la Comisaría de Valladolid puesto que aún no era consciente del engaño.

Tras recabar la preceptiva orden judicial se procedió a la retrocesión de las dos transferencias a las empresas víctimas de la estafa. Los estafadores habían usurpado la identidad de una persona ajena a los hechos delictivos, por lo que por parte del grupo de investigación encargado de esclarecer los hechos se continúa con las pesquisas en orden de identificar plenamente a los ciberestafadores.