Una empresa familiar de construcción con sede en el Polígono 27 de Martutene ha visto como casi 11.000 euros han volado de sus cuentas después de que un hacker accediera a su correo electrónico, modificara el número de cuenta de ingreso de una factura e, incluso, alterara parte del mensaje de presentación para justificar al cliente destinatario de dicha factura un cambio de la cuenta de ingreso que nunca existió.

Todo ocurrió en la segunda quincena del mes de diciembre del pasado año. K.G, que se encarga de la contabilidad de la empresa, envió a un cliente una factura para que abonara el importe de una obra cuyo pago se había planteado fraccionado. "Era un cliente que paga con gran rapidez y al ver que pasaban los días sin que recibiéramos el ingreso sacamos el tema y el cliente nos dijo que estaba ya pagado", explica la encargada de la contabilidad de la empresa que se puso en contacto con NOTICIAS DE GIPUZKOA (si conoces algún caso similar de estafa, puedes ponerte en contacto con nuestra redacción en la dirección internet@noticiasdegipuzkoa.eus).

"Cuando revisamos todo, sorprendidos por lo ocurrido, nos dimos cuenta de que el correo con la factura había sido alterado. Se había cambiado la cuenta de ingreso (que era de otra entidad bancaria diferente a la que trabajamos) y modificado también el mensaje que acostumbro a enviar para avisar del siguiente pago, añadiendo que se hiciera en la nueva cuenta. Había incluso diferencias en la dirección del email", explica K.G.

  • Lea más: Una empresa de Astigarraga denuncia que le han robado 52.000 euros

Aunque la denuncia fue cursada el 22 de diciembre la empresa sigue sin haber recuperado los 10.500 euros, "que pueden parecer poco para las empresas grandes, pero que a nosotros nos hace mucho daño". Recuerda K.G que, además, en su llamada inicial a la Ertzaintza se le notificó que era "la segunda denuncia en ese día" que avisaba de una situación similar.

Desde entonces para K.G el camino ha sido largo y, hasta la fecha, infructuoso ya que no han conseguido recuperar el dinero de la factura que se ingresó en una cuenta que, según han podido averiguar, "ya está vacía".

La historia

La empresa familiar de albañilería en la que trabaja K.G había efectuado una obra de cierta envergadura acordando con el cliente el pago fraccionado en distintas facturas. Todas las facturas anteriores fueron pagadas con prontitud. "A los clientes les remitimos la factura por correo electrónico y les avisamos por whatssap. Estos son uno clientes muy buenos, que pagan enseguida y nos extrañó que no lo hicieran en esta ocasión".

  • Lea más: "Confiamos por naturaleza, es el punto débil que explotan"

Cuando en una reunión se planteó el tema los clientes expresaron su sorpresa y mostraron el justificante de pago en una entidad bancaria diferente a la de anteriores pagos. "Cuando vimos en qué entidad se había hecho, con la que no trabajamos, nos dimos cuenta de que algo había pasado. Revisamos todos los mensajes enviados y comprobamos que que ni la presentación, donde se había añadido una frase, ni la cuenta corriente de ingreso eran las mismas del mensaje de salida".

"Y es que hasta habían cambiado hasta el trato, porque a esta clienta siempre me dirijo de tú y habían añadido la frase de abonen la cantidad señalada en esta cuenta, tratándola de usted. Yo esa frase no la había escrito", explica K.G. En ese momento empezaron a moverse aunque, a día de hoy, siguen sin saber si los hacker "accedieron a nuestro correo o al del cliente".

Desde la entidad que ingresó el cobro se nos indicó que no se le podía dar información alguna porque así lo indica la Ley de Protección de Datos. "Esa misma tarde fuimos a denunciar a la Ertzaintza, nosotros, como empresa, y el cliente. Se nos informó que nosotros como empresa no podíamos poner la denuncia, que la debía poner el cliente, que así lo hizo". Ha sido el cliente quien ha recibido una citación para hablar con el juez.

Pero, frustrada y enfadada, K.G se dirigió a "una empresa especializada en estos temas" que les explicó que "poco se podía hacer ante estos casos más allá de presionar a los bancos, porque puede haber pasado distintas cosas, que se hayan valido de una mula (que alguien contrate a otras persona para abrir la cuenta) o que se haya abierto la cuenta con suplantación de identidad, con datos que hayan podido obtener de distintas formas, incluso de la inscripción de alguien en una carrera".

K.G. tampoco paró ahí, y contactó con su proveedor de internet para conocer si había alguna vía por la que avanzar. La respuesta fue parecida: que es "muy difícil saber dónde se hackea. Llamó a Konsumobide, que también le indicó que el cliente, que es el que aparece en la operación y sobre el que recae el problema, es quien debe denunciar. "Nosotros lo que hemos hecho es contactar con la central del Polígono 27 para que dé el aviso al resto de empresas, pero todavía no lo ha hecho. La asociación del gremio de albañilería sí ha enviado un aviso a los asociados", apunta K.G.

Más de un mes después, esta pequeña empresa sigue sin saber "cómo se solucionarán las cosas" y quiere alertar otras empresas para que estén atentas. "Yo desde que pasó esto lo que hago es avisar a los clientes para que en ningún caso se haga el pago si hay un cambio de cuenta" aunque, señala que en el cao de su empresa no se ha vuelto a repetir ningún capítulo similar y las facturas han llegado a su destino sin cambios.

K.G. lamenta la forma en la que se alarga el proceso para aclarar una situación de este tipo, la opacidad de la información desde los bancos y "la inseguridad" que genera que ocurran este tipo de situaciones. "Sabemos de más casos. A un cliente nuestro que tiene una empresa le había pasado algo parecido quince días antes". "Las empresas de seguros no cubren este supuesto aunque en mi aseguradora me dijeron que la mayoría están trabajando en la creación de una póliza que sí lo atienda".

"Hemos dado mil vueltas, mil llamadas y no pasa nada, nadie nos da solución y nos piden que esperemos. Nadie se pone en tu lugar y te entran dudas también en materia de seguridad con las entidades bancarias" concluye K.G que se pregunta desesperada: "¿tan fácil es abrir una cuenta online? ¿qué datos se pide a quien las abre? ¿es tan sencillo suplantar datos?".

Otro caso en Eibar

Hace pocos días una investigación de la Ertzaintza y la Policía Nacional permitió detener en Málaga a dos hombres acusados de estafar 250.000 euros a una empresa de Eibar en la que uno de sus trabajadores había recibido un correo electrónico, procedente supuestamente de un resposable de la compañía, que le indicaba que hiciese una transferencia bancaria de 250.000 euros para pagar unas facturas, que en realidad eran falsas.

Esta estafa se conoce como BEC (Business Email Compromise) y consiste, en la mayoría de los casos, en que los delincuentes hackean la cuenta de correo de un directivo de una empresahackean, desde la que envían instrucciones a un empleado para que efectúe una transferencia a supuestos proveedores o para pagar facturas falsas, cuando en realidad el destino es una cuenta bancaria controlada por los estafadores.