Pintos & Salgado advirte dunha estafa online que afecta ás empresas: Man in the Middle
venres, 9 de agosto do 2024
O bufete galego de avogacía Pintos & Salgado, especializado en dereito xudicial, vén de achegar un novo informe sobre as principais ameazas que xorden e se consolidan na Rede, que poden comprometer a nosa comunicación persoal e empresarial e mesmo teñen capacidade para o roubo de datos e de cartos. No novo informe o bufete galego pon o foco nun dos tipos de estafa máis en voga da tempada e que ten meirande vixencia dentro do ecosistema dixital actual, a que se coñece como Man in the middle (MitM) ou Ataque de intermediario, que ten como obxectivo (principalmente) falseas facturas e suplantar identidades empresariais.
Segundo explica Teresa Regueiro, avogada especialista en protección de datos en Pintos & Salgado, “trátase dun dos ciberataques máis comúns, moi recorrente nos casos que recibimos no despacho, e onde os hackers logran suplantar identidades de diferentes provedores de servizos e subtraer fondos económicos”. Na práctica, o ciberdelincuente logra interceptar a comunicación entre dúas partes e acceder a información sensíbel para alterala e saír beneficiado, sinala, dando exemplos concretos desta práctica: “Un exemplo claro de Man in the Middle pode comezar cando unha empresa recibe unha factura dun provedor usual vía correo electrónico cun número de conta para facer a transferencia polos seus servizos. O hacker interceptaría esa comunicación, cambiaría o número bancario e a empresa terminaría enviando o diñeiro á conta do ciberdelincuente”, salienta Regueiro. O tempo que tarda en detectarse a fraude é unha das claves: a vítima da estafa só se decata do erro cando o provedor reclama o pago que non se realizou.
Preto de un millón de euros subtraídos ao Concello de Sevilla
A avogada sinala que Esta práctica afecta por igual a empresas privadas, usuarios e administracións, e xa en 2021 detectouse un dos casos con maior impacto económico, poñendo sobre a mesa a importancia extremar a cautela. No caso de Sevilla, explica Teresa Regueiro, “os ciberdelincuentes suplantaron a identidade da empresa que xestionaba a iluminación do Nadal do Concello, interceptando as comunicacións entre esta e a Concellería de Urbanismo e conseguindo que a institución pública ingresase case un millón de euros a unha conta controlada polos hackers”. A avogada engade que “debemos entender que as consecuencias dun ataque do intermediario son múltiples: por suposto, hai perdas económicas, pero tamén un enorme dano reputacional, porque pérdese a confianza nos protocolos de seguridade da organización que foi hackeada. E logo está toda a información sensíbel e confidencial á que poden acceder os ciberdelincuentes, vulnerando a normativa de protección de datos”.
Algunhas medidas despois de sufrir un ataque de Man in the Middle
Ante calquera sospeita de ser vítima dunha estafa así, Teresa Regueiro expón catro medidas a poñer en marcha: desconectar o dispositivo tecnolóxico de Internet e trocar os contrasinais, denunciar o feito ás Forzas e Corpos de Seguridade do Estado e contactar co banco de destino da transferencia para evitar que o diñeiro chegue ao ciberdelincuente. Ademais, se o hacker xa ten o diñeiro en posesión, existe a posibilidade de reclamar ao banco. Se se realiza unha transferencia e nela indícase o nome do beneficiario, aínda que o IBAN fose manipulado, o banco de destino debe comprobar sempre que este IBAN correspóndese co beneficiario da transferencia.
Porén, tamén é fundamental non só a actuación despois da estafa, senón tamén o proceso de prevención. “Ser conscientes de que existen estas prácticas ilegais e da importancia de revisar ben que estamos a facer na nosa navegación por Internet son accións claves para previr un ataque así”, insiste a avogada especialista en protección de datos, engadindo que “se accedemos a sitios web inesperados que solicitan información sensíbel, ou vemos conexións que se presentan como pouco seguras ou sitios web non confiábeis, tanto usuarios como organizacións deben extremar a precaución. De igual maneira que evoluciona a tecnoloxía dixital, tamén o deben facer os nosos comportamentos na Internet para garantir a seguridade da nosa identidade e datos”.