Fraude interno: el enemigo en casa
Buena parte del fraude se debe a irregularidades cometidas por los socios, directivos y trabajadores de la propia compañía. Por ejemplo, un empleado puede falsear la contabilidad con el fin de aumentar su bonus de objetivos, generalmente con la connivencia de proveedores con los que opera la compañía. Y un socio o un alto directivo con atribuciones y capacidad para autorizar transacciones u operaciones puede hacernos un ‘roto’ importante. “Puede cometer un desfalco o apropiación indebida de dinero o bienes, realizar una disposición de fondos inapropiada, incurrir en gastos suntuarios que la compañía no puede soportar… meter la mano en la caja y poner a la compañía en riesgo. Estas transacciones no deberían poder ser firmadas por una sola persona”, declara Stein.
¿Cómo nos puede afectar?
Este tipo de fraudes socava los recursos económicos de la empresa, pudiendo poner en grave riesgo su continuidad. Además, la compañía quizá tenga que afrontar la responsabilidad civil que acarrean sus actos, derivada de posibles impagos, etc. La repercusión puede llegar incluso a la vía penal. “Si eres accionista de una sociedad, respondes sólo con el capital social. Pero si hay delito, se responderá penalmente. El lío puede ser muy grande, por lo que en una empresa no te puedes meter con cualquiera. No tienes que ser exquisito, pero sí razonable”, apunta el profesor de IESE.
Falsedad y ocultamiento en fusiones y adquisiciones
La valoración de las empresas en este tipo de operaciones es muy delicada. Las compañías pueden caer en la tentación de recurrir a determinadas artimañas para ‘inflar’ su valor y obtener un mejor precio en la operación. Conviene comprobar los clientes y proveedores de la compañía que se va a adquirir o con quien nos vamos a fusionar para detectar vinculaciones societarias o relaciones personales con la dirección de la empresa, así como conflictos de intereses o incompatibilidades. Además, es recomendable revisar la política de prevención y respuesta al fraude por parte de la compañía y sus socios y directivos. Nos podemos encontrar irregularidades que han pasado desapercibidas por una vigilancia demasiado laxa. O puede que incluso se hayan tolerado. Por ejemplo, quizá la dirección haya estado haciendo la vista gorda a los sobornos realizados por su filial en un mercado emergente para agilizar la concesión de licencias o la adjudicación de concursos.
¿Cómo nos puede afectar?
Si una empresa nos la ‘cuela’ en el proceso de compra o fusión, ocultando datos que alteren su balance o su valoración, pagaremos más de lo debido en la operación. Además, puede tener consecuencias futuras, como el impacto económico por el afloramiento del fraude y las pérdidas y costes asociados, posibles multas y sanciones o la repercusión en nuestra imagen y reputación.
Timo del nazareno: un clásico imperecedero
“Los estafadores se hacen pasar por una empresa, generalmente de distribución, y realizan compras de determinados productos en grandes cantidades a las empresas víctimas, que creen haber hecho un buen contrato. Sin embargo, la empresa simulada desaparece antes del plazo acordado de pagos, momento en el que la víctima se da cuenta de que ha sido estafada”, explican los técnicos de la Guardia Civil.
Este fraude tradicionalmente era nacional, pero ahora se ha internacionalizado y se ha hecho digital. “Las empresas estafadoras simulan ser compañías conocidas de distribución, en bastantes ocasiones situadas en territorio del Reino Unido. Los delincuentes suelen conocer el mercado y seleccionan las compañías a estafar basándose en la publicidad que éstas usan para darse a conocer al exterior. Se aseguran de que contactan con una empresa con interés en internacionalizarse. Para los contactos suelen usar correos electrónicos simulados, modificados de manera que consiguen llevar a engaño a las víctimas”, puntualizan.
En algunas ocasiones, los delincuentes realizan una primera compra real por una cantidad que no despierte sospechas, realizando el pago en los tiempos acordados. “Consiguen generar confianza para realizar luego una compra de gran volumen, que nunca llegan a abonar. Este intento de generar confianza no se da siempre y es habitual que desaparezcan tras la primera compra, pero puede que sigan insistiendo hasta que el empresario sospeche”, señalan los expertos.
Los estafadores intentan usar sus propios transportistas pero tampoco ponen objeciones si es una empresa elegida por la víctima. Una vez iniciado el transporte, suelen cambiar el punto de entrega, situándolo en naves industriales alquiladas para la operación. “Actúan con gran rapidez, siendo su prioridad dar salida al género antes de que se detecte el engaño”, advierten.
¿Cómo nos puede afectar?
“Este tipo de estafa perjudica de manera grave, no sólo por el daño directo generado, sino porque afecta a la capacidad y confianza de las empresas a la hora de internacionalizarse y vender en el extranjero”, precisa el Instituto Armado. Incide especialmente en la compraventa de mercancía hortofrutícola, cobre y productos informáticos o tecnológicos. Es fundamental asegurarse de antemano de que la empresa compradora ofrece garantías de cobro.
Fraude al IVA: ‘hombres de paja’, ‘truchas’ y ‘pantallas’
Se trata de un fraude a la Hacienda Pública, omitiendo el pago del IVA. Comienza con la adquisición de productos en otro país de la Unión Europea, operación intracomunitaria exenta de IVA. Para dar opacidad, intervienen varios tipos de sociedades, generalmente con ‘hombres de paja’ como administradores. Las llamadas empresas ‘trucha’ son las primeras en recibir la mercancía, que venden inmediatamente, generando una factura con IVA. Sin embargo, nunca repercuten el impuesto a la Hacienda Pública, pues desaparecen en cuanto son usadas por la organización criminal. A veces se producen varias operaciones de venta entre empresas ‘trucha’ para dificultar su detección. Y luego están las empresas ‘pantalla’, “que se constituyen con el único fin de desvincular la empresa ‘trucha’ de las verdaderas destinatarias del producto, que son quienes se benefician del fraude”, explican los expertos de la Guardia Civil.
Esa venta es meramente documental, sin hacer ninguna entrega de mercancía. Los productos se venden luego a un precio más bajo del habitual a almacenistas o distribuidores, que pueden compensar el impuesto, ya que tienen facturas en las que consta como pagado. Las empresas fraudulentas se benefician de la deducción de un impuesto no tributado y de una competencia desleal, pagando por debajo del precio de mercado.
¿Cómo nos puede afectar?
Aunque normalmente no afecta de manera directa a las compañías ajenas a la trama, la competencia desleal que genera este fraude distorsiona el mercado notablemente. Además, nuestra empresa puede verse ‘salpicada’. Si compramos mercancía a una compañía que vende a unos precios sospechosamente bajos, se podría considerar un indicio de que el proveedor no va a pagar el IVA, por lo que Hacienda nos lo podría exigir a nosotros, aunque abonemos dicho impuesto al pagar al proveedor. También puede suceder que vendamos nuestros productos a una empresa comunitaria que falsifica la documentación de transporte, haciendo ver que la mercancía ha salido del país pero sin que realmente suceda así. Si no tenemos nada que ver con el fraude, no deberíamos vernos involucrados, pero nos producirá quebraderos de cabeza. Conviene asegurarse de antemano de que la empresa a la que vendemos es de confianza y debemos comprobar la documentación de transporte.
Suplantación del CEO: ataques estudiados y dirigidos
“Consiste en hacerse pasar por el director general o un alto cargo de una empresa y contactar con el departamento financiero o administrativo para que haga una transferencia. Como excusa, suelen decir que necesitan cerrar un acuerdo que se está negociando en secreto y que es urgente y necesario disponer del dinero en la cuenta indicada”, señalan los especialistas de la Guardia Civil. El pretexto puede ser el pago inmediato de una compra o un contrato, una transacción por una absorción empresarial o por la compraventa de acciones, el abono de facturas atrasadas, etc. Incluso se puede suplantar al CEO durante un viaje de negocios al extranjero, enviando un correo diciendo que ha perdido las tarjetas y pidiendo que se haga una transferencia a la cuenta de un amigo, por ejemplo.
Los estafadores pueden obtener información para lanzar el ataque cuando la comunicación con el directivo vaya a ser difícil: si está de viaje, en una reunión, en una conferencia, en un avión, etc. Se sirven de técnicas de ingeniería social, recabando información del CEO o de la empresa en redes sociales, medios de comunicación o fuentes de datos abiertas. Y se suelen producir en viernes o víspera de festivos, dificultando la detección y el bloqueo o retroceso de la transferencia.
Los expertos de la Benemérita precisan que “los contactos con el departamento financiero pueden hacerse por correo electrónico, para lo cual pueden usar varias técnicas, desde la suplantación y hackeo del correo del directivo hasta su simulación, cambiando el email por uno similar”. El jefe de Fraudes de la UIT de la Policía Nacional remarca que ese correo “indicará en el asunto palabras clave como ‘compra’, ‘venta’, ‘urgente’, ‘necesito ayuda’… de manera que la primera iniciativa del quien lo recibe sea abrirlo”. Pero hay muchísimas variantes. “Sólo coinciden en la presión que se realiza al empleado que hace la transferencia”, anota la Guardia Civil. “Los ‘malos’ saben que tienen alrededor de una mañana de margen para hacer caer en el engaño, antes de que el empleado tenga tiempo de pensar”, añade Rodríguez.
¿Cómo nos puede afectar?
Los ciberdelincuentes suelen perseguir un beneficio económico. El impacto dependerá del tiempo que tardemos en darnos cuenta del ataque, pudiendo llegar a perder decenas o cientos miles de euros si no revisamos los movimientos y no recibimos alertas del banco. El experto de la Policía señala que en España se han llegado a denunciar casos en los que se ordenaba una transferencia de 1,5 millones de euros. Conviene establecer sistemas de doble o triple autentificación para evitar que la víctima pueda ejecutar pagos sin la autorización de otra persona. Si la estafa se consuma, hay que cambiar las contraseñas y contactar con el banco para tratar de paralizar o retroceder la transferencia, además de denunciar a las autoridades. Estos ataques también pueden tener la intención de robar de información confidencial o causar daño reputacional.
Phising: no te fíes de las apariencias
“Es uno de los métodos más utilizados por los ciberdelincuentes para estafar y obtener información confidencial de forma fraudulenta, como contraseñas o información bancaria y de tarjetas”, indican los expertos de la Guardia Civil. Los ‘malos’ envían mensajes suplantando a una entidad legítima –banco, red social, proveedor cloud, entidad pública, etc.- para engañar a las víctimas y que realicen alguna acción que ponga en peligro sus datos. Por ejemplo, puede ser un correo remitido supuestamente por nuestro banco, invitándonos a hacer clic en un enlace para cambiar nuestra contraseña por algún problema. Y al introducirlo, quizá aparezca una página de error… pero entonces los ciberdelincuentes ya tienen la clave.
La Benemérita recomienda precaución ante correos de bancos o servicios conocidos en los que nos pidan contraseñas, nombres de usuario o claves -pin de la tarjeta crédito o banca electrónica, etc.-. Además, hay que mirar bien los enlaces y revisar que el texto del link coincida con la dirección indicada y que ésta corresponda con la URL original. Igualmente, debemos prestar atención al remitente. “Una entidad con cierto prestigio utilizará sus propios dominios para los emails corporativos. No suelen mandar comunicaciones desde Hotmail o similares”, señala.
Los estafadores también pueden hacerse con las claves de cuentas de correo corporativo para mandar posteriormente mensajes desde ellas. Por ejemplo, podrían enviar un correo a los clientes de la empresa atacada, pidiendo la modificación de la cuenta de abono de las facturas, haciendo así que los pagos se dirijan a cuentas controladas por ellos.
¿Cómo nos puede afectar?
El móvil es económico. Su alcance depende del tiempo que tardemos en detectarlo. También puede dañar las relaciones entre empresas. Por ejemplo, si se apoderan del correo de un proveedor y nos envían un mensaje modificando la cuenta donde debemos efectuar los pagos, el proveedor se quedará sin cobrar dichas facturas. Y nosotros les daremos el dinero a los ‘malos’. Pero el correo usurpado es el suyo. ¿Quién debe asumir la pérdida? Esto puede dar lugar a dispuestas.
Ramsonware: secuestro online
Se trata de un malware que se infiltra en los sistemas de la empresa para dañar o cifrar nuestros archivos, solicitando el pago de un rescate -generalmente en bitcoins- dentro de un determinado plazo si queremos recuperar la información. “El método más común es mediante el envío de correos electrónicos maliciosos a las víctimas, engañadas para abrir un archivo adjunto infectado o hacer clic en un vínculo que les lleva al sitio web del atacante, dónde son infectados”, explican los especialistas de la Guardia Civil. El malware también se puede ocultar dentro supuestas actualizaciones de programas o aplicaciones de uso habitual.
Es recomendable configurar y mantener actualizados los sistemas para evitar vulnerabilidades. El incidente de ramsonware más conocido, Wannacry, aprovechó un fallo de Windows que estaba resuelto en un parche publicado por Microsoft meses antes. Además, es imprescindible realizar copias de seguridad periódicas.
¿Cómo nos puede afectar?
El ‘secuestro’ de los ordenadores tiene varias repercusiones. Si optamos por pagar, tendremos que abonar el rescate para recuperar cada uno de los equipos afectados. Por ejemplo, Wannacry pedía 300 dólares en bitcoins. Si tenemos muchos equipos, la cuenta se dispara. Los ciberdelincuentes pueden usar técnicas de presión para hacer que paguemos, como amenazar con el borrado de los datos o la publicación de nuestra información, advertir que la cantidad a pagar aumentará si se cumple determinado plazo de tiempo, etc. Sin embargo, el pago no garantiza la recuperación de los ficheros encriptados. El ataque también generará gastos por la recuperación de sistemas, el restablecimiento de los servicios y la reparación de nuestra reputación, además de la paralización de actividad, con el consiguiente lucro cesante y perjuicio a terceros. Y tal vez haya que afrontar gastos y posibles sanciones derivadas del nuevo Reglamento General de Protección de Datos.
