Los Abogados Y La Globalización, Abogado Gratis Nos Muestran Acerca De Las Nuevas Reglas

El placer de los estafadores

Los ciberdelincuentes rara vez descansan, siempre buscando vulnerabilidades para explotar, y ahora están apuntando cada vez más a las transacciones comerciales privadas en lo que se conoce como un ataque de compromiso de correo empresarial (BEC). En tal violación, un ciberdelincuente se infiltra en el sistema de correo de una compañía y se hace pasar por el dueño de una importante cuenta de correo de la empresa. Fingiendo ser un ejecutivo concreto, el ladrón manda un correo a otra empresa con la que el primero tiene una relación continua, mandando instrucciones de envío de dinero legítimamente adeudado a una cuenta corriente establecida y controlada por los autores del plan.

El receptor del correo, pensando que el mensaje es auténtico, transfiere el pago a la cuenta del criminal. Para cuando los dos negocios se percatan de que han sido engañados, es ya demasiado tarde, y el dinero que el segundo envió al primero ya ha desaparecido.

¿Qué pasa tras algo como esto? ¿Puede una empresa victimizada recobrar los fondos robados? ¿Puede esperar recuperarse del propio delincuente? Si no se puede encontrar al autor, ¿puede la compañía defraudada recuperar el dinero del que ha pirateado sus sistemas?

El hackeo de empresas es un buen negocio

Conforme el Centro de Demandas de Delitos en Internet del FBI (conocido como "IC3"), los ciberataques del BEC contra empresas estadounidenses han ocasionado más de ocho mil doscientos millones de dólares americanos en pérdidas desde dos mil trece, con 1.700 millones de dólares estadounidenses adicionales en pérdidas ajustadas solo en dos mil diecinueve, las mayores pérdidas de bolsillo estimadas de cualquier clase de delito cibernético en ese periodo. El IC3 también estima que las pérdidas mundiales han superado los 26.000 millones de dólares americanos en los últimos tres años. Dado que muchos de estos delitos no se denuncian, la cantidad real es seguramente considerablemente más alta.

Los ataques del BEC se generan cada vez más en las transacciones comerciales privadas pues los criminales, sencillamente, ven la vulnerabilidad. Las compañías participan en intercambios regulares en los que el comprador compra una cantidad determinada de bienes a un vendedor y, con el tiempo, los ejecutivos establecen relaciones con sus análogos. La naturaleza de este intercambio amistoso en general produce un grado de confianza del que los ciberdelincuentes se aprovechan con entusiasmo.

En un escenario habitual, un ataque BEC se origina con el criminal apuntando a un ejecutivo de una empresa determinada. Afirmemos que la compañía A provee piezas de vehículos a la compañía B en un horario establecido, para lo que esta última le transfiere el pago. Sabiendo esto, el delincuente se infiltrará en el sistema de e-mail de la Compañía A, de forma frecuente mediante un esquema de "phishing", enviando un e mail falso o bien un enlace web. Una vez que se hace clic en él, la cuenta objetivo se ve comprometida. El criminal puede entonces monitorear los mensajes y la actividad de la cuenta, familiarizándose con la manera en que el ejecutivo de la compañía A utiliza el mail y de qué forma precisamente se generan las transacciones con la compañía B. Al advertir una buena oportunidad, el delincuente envía un mensaje falso o comprometido solicitando la transferencia electrónica.

En este escenario, la empresa A se ve perjudicada porque ha hecho la entrega habitual a la empresa B pero no ha recibido el pago. La empresa B también se ve perjudicada pues ha emitido el pago destinado a la compañía A mas ahora en las arcas del criminal. En general, la compañía A demandará un pago legítimo a la compañía B, o le demandará que devuelva la mercancía. ¿A dónde ir desde aquí?

Recobrar los activos de un ataque cibernético del criminal

Tras un ataque de la BEC, posiblemente las empresas víctimas recobren los activos perdidos. El IC3 del FBI informó que en dos mil diecinueve, su Equipo de Activos de Recuperación fue capaz de recuperar aproximadamente http://unabogadocentroya.theburnward.com/una-conversacion-con-abogados-malaga-sobre-lo-que-sufren-los-ninos-en-los-divorcios-de-los-padres el 79 por abogado gratis ciento de las pérdidas potenciales por las reclamaciones que fueron remitidas al Equipo de Activos de Restauración, por un total de 304,9 millones de dólares. Sin embargo, para tener alguna esperanza de obtener la recuperación del delincuente, una compañía víctima debe denunciar el fraude al FBI o bien a otras fuerzas del orden, y hay varias razones por las que una compañía podría ser reacia a hacerlo. Según el Departamento de Justicia, a partir de dos mil dieciseis, solo el 15 por cien de las víctimas de fraude empresarial en todo el país denuncian el delito.

¿Por qué razón las empresas son tan cautelosas? En primer lugar, una empresa puede estimar la persecución de un ciberdelincuente como una pérdida de tiempo y de recursos, en especial cuando se determina que el hacker está operando en el extranjero. De hecho, debido a que tantos ciberdelincuentes ejercen su actividad fuera de los E.U., frecuentemente es extremadamente bastante difícil hacerles rendir cuentas.

Seguidamente, la detención del autor puede no ser la mayor prioridad de la empresa. En cambio, se va a centrar en reforzar los controles internos para garantizar que no vuelva a ser víctima, como en cumplir sus obligaciones legales de notificar a los reguladores y a las partes perjudicadas. Podría preocuparle la publicidad negativa o el daño a su reputación. Es probable que estas preocupaciones sean exageradas, mas podrían llevar a una empresa a tratar de solucionar las controversias conexas con sus socios de manera informal o en los tribunales civiles.

Restauración de activos del asociado comercial

Cuando una compañía no puede recuperar el dinero robado por un ciberdelincuente, puede decidir buscar la recuperación del socio comercial. Cuando semejantes disputas no pueden ser resueltas informalmente, conducen a pleitos, centrándose en qué parte fue más negligente en la habilitación del esquema: ¿Fue la compañía A, cuyo sistema de e-mail fue en un inicio pirateado, o la compañía B, que envió el pago a una cuenta fraudulenta?

En los últimos tiempos se han visto un puñado de decisiones judiciales que involucran a víctimas del esquema BEC que se han demandado entre sí. ¿Qué compañía debería aceptar el peligro de pérdida? Hasta el momento los tribunales han adoptado un enfoque similar para estos casos.

El primer caso relevante fue una disputa de 2015, Arrow Truck Sales contra Top Quality Truck & Equipment, Inc., en la que una empresa, Top Quality, negoció la venta de un conjunto de camiones a la otra por quinientos setenta dólares. Tanto el sistema de correo del vendedor como el del comprador fueron pirateados por estafadores externos que enviaron instrucciones "actualizadas" de cableado al comprador, Arrow Truck, que las creyó reales; los criminales se salieron con la suya por el coste total de compra de quinientos setenta dólares.

El tribunal de distrito apuntó que no había jurisprudencia aplicable sobre la cuestión de qué parte soportaba la pérdida derivada del fraude de un tercero que provocaba el incumplimiento del contrato. En su sitio, tomó como guía el Código Comercial Uniforme, que establece, bajo la "regla del impostor", que la parte que sufre la pérdida es la que está en mejor posición para prevenir una falsificación ejercitando un cuidado razonable. Tras un juicio de prueba, el tribunal determinó, sobre la base de esos argumentos, que el comprador de los camiones debía asumir la pérdida. "Las instrucciones [del cable] implicaban una información totalmente diferente de todas y cada una de las instrucciones anteriores", observó el tribunal. "En resumen, [Arrow Truck] debió haber ejercido un cuidado razonable tras percibir mails contradictorios que contenían instrucciones de cable contradictorias, llamando a [Top Quality] para confirmar o verificar las instrucciones de cable adecuadas antes de enviar los quinientos setenta dólares americanos. Como tal, Arrow debería padecer la pérdida asociada con el fraude."

En un caso de 2016, Bile contra RREMC, un abogado llamado Uduak Ubom fue hackeado en su correo. Ubom representó a Amangoua Bile, un usuario que terminaba de llegar a un acuerdo de 63.000 dólares estadounidenses con su viejo empleador en una demanda por discriminación en el empleo. El estafador usó el mail de Ubom para mandar instrucciones de cableado actualizadas al bufete que representaba al empleador. Cuando el bufete siguió esas instrucciones, el criminal robó el dinero. Bile y su viejo empleador, RREMC, presentaron peticiones para hacer cumplir el pacto. El tribunal festejó una audiencia probativa y determinó que Ubom no había observado el cuidado ordinario, lo que contribuyó al robo y, por tanto, Bile sufrió la