Por Miguel Zegre
Cada vez es más frecuente ver en las noticias cómo se extienden de forma alarmante las estafas o intentos de estafas a las empresas o particulares generadas por los ciberdelincuentes. Intentan obtener nuestros datos enviando a los usuarios un correo electrónico o mensajes atractivos, con premios o algún tipo de recompensa. Este método, conocido como phishing, es cada vez más habitual en España.
Dentro de los diferentes tipos de phishing, podríamos decir que el phishing en facturas es el más habitual, especialmente por la modificación fraudulenta del número de cuenta bancaria en los documentos. Este fraude afecta tanto a empresas como a consumidores, y puede tener consecuencias financieras graves si no se detecta a tiempo.
Vamos a ver cómo funciona este tipo de fraude, sus consecuencias, y las medidas preventivas, como la factura electrónica, que las empresas y consumidores pueden tomar para evitar ser víctimas del engaño.
¿Qué es el phishing en facturas?
El phishing en las facturas suele comenzar con un ataque ala seguridad de la empresa emisora o receptora de facturas. Los ciberdelincuentes pueden comprometer las cuentas de correo electrónico a través de su servidor, afectando a los sistemas de facturación y las comunicaciones entre una empresa y sus proveedores o clientes. Una vez que obtienen acceso, modifican los detalles de las facturas, en especial el número de cuenta bancaria donde se debe realizar el pago.
Ya es una realidad que la digitalización de facturas y documentos en general es un gran avance para mejorar los sistemas contables de las empresas, por accesibilidad, por seguridad y por sostenibilidad. Es una solución ya adoptada en las relaciones B2B y apartir del 2025 se implantará la factura electrónica para pymes y autónomos que evitará los ciberataques de este tipo.
¿Cómo funciona el fraude en el cambio de número de cuenta?
Este sistema de fraude es cada vez más sofisticado y tanto el proveedor como el cliente no se dan cuenta de la estafa hasta pasado un tiempo ya que utilizan un dominio similar al de los emisores de las facturas.
El cambio más comúnes modificar el número de cuenta bancaria en la factura. El número original,que pertenece al proveedor legítimo, es reemplazado por el número de una cuenta controlada por los ciberdelincuentes.
El atacante envía la factura modificada a la empresa o cliente que debe realizar el pago, haciéndolo parecer una comunicación legítima.
Si la víctima no detecta el cambio en los detalles bancarios, procederá a realizar el pago a la cuenta del atacante, perdiendo así el dinero destinado al proveedor original.
Una vez transferido el dinero a la cuenta fraudulenta, los atacantes suelen mover rápidamente los fondos a otras cuentas en países extranjeros, dificultando su recuperación.
Consecuencias del phishing en facturas
Recibir correos electrónicos que suplantan la identidad de compañías u organismos oficiales puede suponer un gran perjuicio para las empresas y las consecuencias pueden ser de este tipo:
● Pérdida financiera directa: La consecuencia más obvia es la pérdida del dinero transferido a la cuenta fraudulenta. Dependiendo del tamaño del pago, esto puede tener un impacto significativo en el flujo de caja de una empresa.
● Conflictos comerciales: La empresa que recibe la factura fraudulenta puede creer que ha cumplido con su obligación de pago, mientras que el proveedor legítimo no ha recibido el dinero. Esto puede generar tensiones en la relación comercial y disputas legales sobre quién es responsablede la pérdida.
● Daño a la reputación: Para las empresas, ser víctima de phishing en facturas puede afectar su reputación, especialmente si se descubre que sus sistemas de seguridad no eran lo suficientemente robustos para prevenir el ataque. Esto puede llevar a una pérdida de confianza por partede clientes y socios.
● Recuperación del dinero: En la mayoría de los casos, es extremadamente difícil recuperar el dinero una vez transferido a una cuenta controlada por los ciberdelincuentes. Los bancos pueden ofrecer cierta asistencia, pero la rapidez con la que los fondos se mueven y la complejidad legal de rastrearlos en diferentes países hacen que las probabilidades de éxito sean bajas.
En el caso de consumidores particulares las consecuencias son parecidas, con el agravante de que están, generalmente, más indefensos que las empresas. Hemos visto que cuando se produce un ciberataque queda en evidencia que se aprovechan más de las personas que de la vulnerabilidad tecnológica. En el caso de los particulares el engaño llega hasta a personas con menos recursos y que les supone una verdadera desgracia sufrir este tipo de estafas en sus finanzas personales, siendo un simple consumidor.
¿Cómo detectar el phishing en las facturas?
Para protegerse contra este tipo de fraude, tanto las empresas como los consumidores deben estar atentos a ciertas señales que pueden indicar que una factura ha sido manipulada.
● Cambio inesperado en los detalles de la cuenta bancaria: Si una empresa con la que has trabajado durante años de repente cambia su cuenta bancaria, este es un posible indicio de fraude. Es fundamental confirmar este cambio llamando directamente al proveedor a través de un número de teléfono que ya tengas registrado y no utilizando los datos de contacto enla factura recibida.
● Errores o discrepancias en la factura: Las facturas fraudulentas a menudo contienen pequeños errores, como errores tipográficos, logotipos mal colocados o datos incorrectos de contacto. Estos pueden ser signos de que alguien ha manipulado el documento.
● Solicitudes de pago urgentes: Los estafadores suelen tratar de generar un sentido de urgencia para que las víctimas no tomen el tiempo necesario para revisar los detalles de la factura. Si recibes una factura con una solicitud de pago inusualmente urgente, verifica su legitimidad antes de realizar cualquier transferencia.
¿Qué hacer si has sido víctima de phishing en una factura?
Ante la sospecha o evidencia de haber sido víctima de un ataque de phishing, para las empresas y particulares, lo primero es desconectarse de la red para aislar el sistema. En ese momento serán los técnicos los que deberán evaluar el problema.
Otro paso importante es cambiar nuestras contraseñas de todos los lugares donde tengamos información sensible. No sólo nos centraremos en las cuentas bancarias o tarjetas de crédito, también es aconsejable cambiar las del correo electrónico y las que tengamos guardadas en la memoria de nuestros dispositivos electrónicos como móviles, tablet y ordenadores.
Una forma de ciberataque es a través de un malware o un virus que nos ha llegado en un mensaje, así que es recomendable activarel antivirus en todos los dispositivos.
Por otro lado, también deberemos informar a la empresa supuestamente emisora de las facturas para que tome medidas y pueda proteger a sus clientes.
Los bancos deben tener conocimiento de lo sucedido y de esta forma puedan bloquear cuentas o tarjetas y evitar que se sigan produciendo transacciones fraudulentas.
Tendremos que recopilar toda la información sobre el delito de phishing en facturas del que hemos sido víctimas, incluyendo capturas de pantalla, memoria de webs visitadas, emails que hemos recibido y respondido. Con todo esto, se presentará una denuncia ante la Policía Nacional o la Guardia Civil. Desde las unidades de la Brigada de Investigación Tecnológica o el Grupo de Delitos Telemáticos harán llegar a la Fiscalía de Delitos Informáticos cada caso para su investigación y persecución del delito.
Una vez vistos los riesgos que puede correr una pyme o un autónomo, la mejor forma de evitar ciberataques que comprometan las facturas, es llevar a nuestra empresa a una transformación digital completa. La digitalización de facturas ofrece una amplia gama de beneficios como la protección de los documentos mediante controles de acceso, cifrado y copias de seguridad quedando protegida de accesos no autorizados.
El phishing en las facturas, y en particular el cambio del número de cuenta, es una amenaza creciente que puede causar graves problemas financieros y de reputación para las empresas. Detectar este tipo de fraude a tiempo y tomar medidas preventivas es fundamental para minimizar el riesgo. Las empresas deben adoptar un enfoque proactivo, con sistemas, como la factura electrónica y una seguridad robusta, procesos de verificación adecuados y una cultura organizacional que priorice la ciberseguridad.