Una factura digital falsa y dos transferencias: así perdió 133.000 euros Antonio, víctima de un ataque de 'phising'
España está en lo alto del ranking de países que sufren un mayor número de ataques informáticos como el phishing o los troyanos bancarios
El incremento y 'profesionalización' de estos ataques propicia ganancias a la ciberdelincuencia que ya superan incluso las del tráfico de drogas
Una víctima de phishing denuncia en NIUS su caso: "El banco me dice que no me devuelve el dinero hasta que no lo ordene un juez"
MadridAntonio Galindo tiene 45 años pero siente que ha envejecido diez más en los últimos días. Desde que descubrió que su empresa ha sido víctima de un ataque de phishing vive en un estado de ansiedad permanente. "No como, no duermo, y, si lo consigo, sufro horribles pesadillas", confiesa a NIUS.
El 16 de abril se enteró de que un delincuente informático le había robado casi 133.000 euros. "Para una pequeña empresa como la mía eso es prácticamente la muerte", lamenta. "Este problema me está quitando vida. El médico me ha recetado ansiolíticos y así sobrevivo, esperando que esta pesadilla acabe y pueda recuperar el dinero".
Víctima del phishing conocido como Man-in-the-Middle (MitM)
La historia de Antonio es una de esas que uno piensa que jamás le va a tocar vivir. "Cómo iba a pensar que podía ser víctima de un delito informático, con lo cuidadoso que soy, que no abro un mail si no conozco quien me lo envía, que no pincho en ningún link extraño...", destaca. "Pero me ha ocurrido, y encima con la transferencia más grande que he hecho nunca desde que monté este negocio", suspira.
Los métodos de este tipo de delincuentes son cada vez más difíciles de detectar. En este caso, Antonio recibe un encargo para construir una cámara anecoica -una sala aislada del ruido-, que es a lo que se dedica su empresa. Para ello recibe una importante suma de dinero que él transfiere a un tercero que le va a suministrar los costosos materiales que precisa. "Como era un importe alto, en vez de hacerlo todo en una transferencia, hago dos de unos 66.000 euros cada una. Para ello me voy al correo que me enviaron, abro la factura, y la hago al número de cuenta que aparece. Hasta ahí todo normal. No había nada sospechoso. Era el hilo de la empresa con la que llevaba meses tratando y que además son de absoluta confianza".
El problema llega tres días más tarde, cuando desde esta empresa le advierten de que el dinero no ha llegado. "Nos dimos cuenta el domingo 16 de abril y avisamos a Antonio porque al cotejar los justificantes de pago que nos había mandado descubrimos que el número de cuenta no era el nuestro", explica a NIUS Eugenio García Calderón, el gerente de la empresa que debía recibir el dinero.
"A mí me extrañó mucho, así que me reenviaron por WhatsApp la factura, y al compararla con la mía descubrí que eran idénticas, con la misma firma digital incluso, lo único que variaba era el número de cuenta", apunta Antonio.
"Ahí descubrimos que algo grave había sucedido", comenta García Calderón. "Empezamos a hacer comprobaciones y nos dimos cuenta de que nosotros le habíamos enviado el correo con la factura auténtica a Antonio a las 18.36 de la tarde, pero él no lo recibió hasta las 19.04, casi media hora después. El tiempo que los ciberdelincuentes precisaron para sacar del buzón ese correo, cambiar el número de cuenta de la factura y volver a ponerlo en su buzón para que él, sin sospechar nada, acabara metiendo los 133.000 euros en la cuenta de los estafadores".
"Yo jamás vi la factura original. A mí me llegó directamente la falsa", dice aún incrédulo Antonio. Ahora sabe que ha sido víctima de un ataque de phishing conocido como Man-in-the-Middle, que en español significa “hombre en el medio". Un tipo de ataque destinado a interceptar, sin autorización, la comunicación entre dos dispositivos conectados a una red. Este ataque le permite a un agente malintencionado manipular el tráfico interceptado de diferentes formas, ya sea para escuchar la comunicación y obtener información sensible, como credenciales de acceso, información financiera, etc., o para suplantar la identidad de alguna de las partes.
Lucha contra reloj para recuperar su dinero
"Cuando fui consciente de lo que había sucedido me empezó a dar taquicardia, empecé a marearme y me fui a denunciarlo directamente a la Policía Nacional. Antes llamé a mi banco, Ibercaja, para pedirles que cancelaran o retrocedieran esas transferencias. También llamé al Banco Santander, porque vi que la cuenta fraudulenta era de esa entidad, pero era domingo, así que no conseguí mucho en ningún lado", cuenta afligido.
El lunes 17 de abril Antonio empieza una carrera desesperada para intentar recuperar su dinero. "Mi banco me dice que hay que seguir el procedimiento reglamentario, que es pasarlo a su departamento de fraude, y de ahí al departamento de fraude del Banco Santander y que no se puede hacer nada más que esperar. Pero es difícil quedarse de brazos cruzados cuando te han robado más de 130.000 euros", apostilla. "Todos me repetían lo mismo, que por la Ley de Protección de Datos no me iban decir nada. Yo no lo podía creer. Les decía ¿de verdad que no me podéis ayudar en esto? Es que supone mi ruina y la de los ocho trabajadores que tengo?"
Antonio no desiste. "Pongo otra denuncia en el Banco de España, vuelvo a la policía, denuncio también en la Guardia Civil, voy a la sucursal de Vallecas del Banco de Santander a la que pertenecía la cuenta de los estafadores, hablo con abogados, peritos informáticos...busco una solución desesperadamente".
El 18 de abril recibe un jarro de agua fría. "El Santander me contesta que el dinero no me lo van a devolver hasta que haya una orden judicial. Se me cae el mundo encima. Siento rabia y me asaltan muchas dudas. ¿Cómo es posible que en transferencias con cantidades tan grandes los bancos no cotejen que el número de cuenta corresponde con el beneficiario que pone en la orden de transferencia?
La sorpresa llega el miércoles, el Santander le devuelve el importe íntegro de una de las transferencias al reconocer que se trata de un fraude, pero no de las dos. "Nadie me ha explicado por qué me han devuelto una solo. Yo deduzco que la segunda transferencia no me la han reintegrado porque ya no estaba el dinero en la cuenta o los estafadores habían gastado una parte.Y claro, como no está la cantidad íntegra que se les ha reclamado, pues la entidad dice que no da ese dinero hasta que lo diga un juez", denuncia.
"¿No tienen los bancos seguros para casos así en los que está demostrado que es un fraude? Para un banco 66.000 euros es una minucia, pero para mí es la vida entera", sostiene. "A qué tengo que esperar, a que la policía investigue, se haga un atestado, agarren a la persona que lo ha hecho...eso pueden ser meses, incluso años".
"Me siento abandonado e impotente. Han pasado ya más de diez días y el dinero ni está ni sé cuándo va a poder volver. Mi situación sigue siendo crítica. Si hubiera perdido los 133.000 euros estaría muerto, tendría que haber cerrado la empresa, dado suspensión de pagos y meterme en un problema gordísimo. Con los 66.000 que faltan, pues sobrevivo renqueando, pidiéndole dinero a mi familia para poder seguir trabajando. Es horrible. Una situación que no le deseo a nadie", alega.
"Por eso lo cuento, para alertar a la gente y porque no sé a dónde más acudir. El caso sigue su curso, la policía ya se lo ha pasado a la unidad de delitos informáticos, el Banco Santander se lava las manos a la espera de lo que diga un juez y yo, mientras tanto, pues eso, sin dinero y sin dormir", concluye Antonio.
