El correo electrónico que llegó al buzón de aquel empleado reunía los dos requisitos que ya suponen una primera alerta por un posible ataque informático. Era un mail “urgente” con un contenido “secreto”.

Lo remitía la dirección de uno de los dos principales directivos de la empresa y, en ese tono de premura y máxima discreción, preguntaba si era posible saber el saldo disponible en una de las cuentas bancarias de la entidad, que factura alrededor de 100 millones de euros al año. La respuesta, en línea con esas cifras, indicaba que en ese banco concreto la cuenta de esa empresa albergaba en ese momento 6 millones. El siguiente correo del supuesto CEO no tardó en llegar. “Vale, haz una transferencia de 1,5 millones para una inversión. Confío en ti para esta gestión de mi máxima confianza. No lo comentes con nadie y, si me ves por el pasillo, no digas nada”. Al empleado, sin embargo, la cantidad le pareció un poco de más. “Si hubieran sido 500.000 euros, quizá no hubiera sospechado. Pero 1,5 se le hizo lo suficientemente importante como para desobedecer la pauta del correo y arriesgarse a preguntar”. Ese rigor mereció la pena y evitó a la empresa una considerable estafa. Cuando reunió valor para acercarse al despacho del directivo y consultarle la operación, obtuvo una respuesta clarificadora. “No entiendo nada. ¿De qué transferencia de 1,5 millones me estás hablando?”.

No siempre estas medidas de verificación surten efecto suficiente y fueron varios los casos de empresas navarras víctimas de ataques informáticos o ciberestafas que salieron a colación en una jornada organizada por Coface, aseguradora de crédito comercial y proveedora de información a empresas, que contó además con la presencia del responsable de Delitos Informáticos de la Guardia Civil en Navarra, José Antonio Cruceira. Mamen Gorricho, directora financiera de un grupo cárnico navarro, relató la “suplantación de identidad de libro” que sufrieron en 2018. “Un cliente comenzó a hacernos una serie de pedidos por whatsapp y fuimos vendiendo y cobrando, hasta que dejamos de cobrar”. En ese punto contactaron con la consultora Amaya Áriz, que trabaja para Coface y vincularon su empresa a la de esta compañía que, “indemniza la insolvencia, no el fraude”, como fue este caso, pero que ofrece datos o avisa cuando proveedores o clientes resultan dudosos. La dirección fiscal de ese supuesto cliente cárnico, por ejemplo, estaba en una tienda de alfombras turcas en Italia.

Además del periodista Juan Ramón Lucas, saludaron a los representantes de las empresas presentes el director comercial de Coface en España. Vicente Fuertes; Sergio Gracia, director territorial de Aragón, Navarra y La Rioja y Ángel Jiménez, responsable comercial de Navarra y La Rioja. También Amaya Áriz, que abogó por continuar con esta labor de pedagogía, tanto hacia empleados como CEOS.

EL 95% DE LOS ATAQUES SE PRODUCE POR UN FALLO HUMANO

Una puerta acorazada y una alambrada de pinchos no sirven de nada si dejamos la puerta abierta, invitando al enemigo a entrar tan tranquilamente. Con este símil explica José Antonio Cruceira, responsable del equipo de Delitos Informáticos de la Guardia Civil la brecha de seguridad que dejan muchas empresas, sobre todo pymes, que no conciencian suficiente a sus empleados y directivos acerca de la ciberseguridad. Así lo trasladó a las firmas presentes en el encuentro de Coface. “Las compañías son víctimas que permiten por lo general ganar más dinero a los ciberdelincuentes que las estafas a particulares, por lo que trabajan muy bien cómo hacerse con su dinero. Si ven factible un robo de un millón de euros, pueden preparar ese ataque durante meses”. En el plan puede resultar clave dar con ese punto débil: las personas. “El 95% de los ataques se producen por un fallo humano y es un hecho delictivo en aumento”. Las cifras que trasladó a la audiencia desde luego eran respetables: 496 empresas navarras denunciaron en 2023 un ataque informático en la Guardia Civil de Navarra, el 16% del total (investigan también este tipo de hechos aquí la Policía Foral o la Policía Nacional). El principal vector de ataque es el correo electrónico, dijo, y los delincuentes se aprovechan del hecho de ser un hecho ‘silencioso’, que no genera alarma social y que puede perpetrarse sin que su autor se exponga a cara descubierta. A grandes rasgos, recordó pautas de seguridad como “utilizar el correo del trabajo para el trabajo, no usar 12345 como contraseña de seguridad, desconfiar del cambio de nómina a un banco con sede en el extranjero e intentar no exponerse demasiado en redes sociales”. “El mecanismo más seguro para no caer en una estafa es el sentido común”.