El aviso del Banco de Espa?a con la estafa en el pago de las facturas: as¨ª funciona el BEC
Los ciberdelincuentes suplantan la identidad del proveedor encargado de emitir las facturas. Despu¨¦s, cambian el IBAN en el que hay que hacer el ingreso.
El fraude del correo electr¨®nico corporativo (BEC por sus siglas en ingl¨¦s) es una estafa a la que recurren los delincuentes para suplantar la identidad de un proveedor que emite pagos de facturas mediante transferencias. Los ciberdelincuentes siguen una serie de pasos para poder llevar a cabo el fraude.
En primer lugar, los delincuentes consiguen acceder al correo de la v¨ªctima, normalmente al descifrar la contrase?a. Despu¨¦s encuentran la informaci¨®n relacionada con las facturas recibidas, modifican el IBAN de la cuenta a la que se debe hacer el ingreso, y as¨ª terminan de enga?ar a las v¨ªctimas.
Si eres una de ellas y has hecho un ingreso a una cuenta falsa, es necesario que contactes con tu banco lo m¨¢s r¨¢pido posible para tratar de solucionar el delito y conseguir traer el dinero de vuelta.
?Qu¨¦ hago si soy v¨ªctima de un BCE?
¡°Las transferencias son mandatos de pago irrevocables y las entidades no est¨¢n facultadas para ordenar la devoluci¨®n sin el consentimiento del titular que se ha beneficiado. Ahora bien, de conformidad con las buenas pr¨¢cticas y usos financieros, a la entidad se le exige que haga esfuerzos razonables para tratar de recuperar el importe transferido, contactando con el banco receptor¡±, indica el Banco de Espa?a.
Tras esto, el Instituto Nacional de Ciberseguridad aconseja reportar el incidente adjuntando el correo fraudulento y sus adjuntos para su an¨¢lisis a INCIBE-CERT (incidencias@incibe-cert.es), de manera que llegue con las cabeceras originales. Adem¨¢s, es necesario denunciar el incidente para que se investigue el origen del delito ante las Fuerzas y Cuerpos de Seguridad del Estado.
¡°Si han tenido acceso a nuestro correo electr¨®nico (o a los datos de alg¨²n cliente), se ha producido una brecha de seguridad (seg¨²n el art¨ªculo 33 del RGPD) y puede que se hayan visto afectados datos personales. Si es as¨ª, el responsable del tratamiento de la empresa tiene que notificar el incidente antes de 72 horas a la Autoridad de control competente, la AEPD o similar en tu comunidad¡±, explica INCIBE.