Dos mujeres investigadas en Gran Canaria por estafas cibernéticas a tres empresas de la provincia de Huesca

Tres empresarios aragoneses se dieron cuenta de que el dinero que deberían haber cobrado tras emitir varias facturas se había desviado a otras entidades bancarias. Ese fue el punto de partida que inició una investigación por parte de la Guardia Civil y que ha terminado con la denuncia a dos mujeres en Las Palmas de Gran Canaria como presuntas responsables de estafar más de 24.000 euros a tres empresas de la provincia de Huesca. El método que utilizaban era el envío de correos con enlaces falsos, una estafa conocida como 'phishing', con los que obtenían acceso a sus comunicaciones comerciales y al envío de facturas. 

La investigación se inició en noviembre a raíz de las denuncias interpuestas en las localidades altoaragonesas de Sabiñánigo y Boltaña por dos empresarios. En las denuncias, ambos aseguraban que el importe de unas facturas que debían percibir había terminado en cuentas bancarias desconocidas. Fueron el punto de partida, porque tres meses después, en febrero, una tercera empresa denunció en la localidad de Monzón haber sido víctima de una estafa perpetrada por el mismo sistema al realizar el pago de una factura a una empresa domiciliada en Tarragona.

Los agentes del grupo de delitos tecnológicos de la Guardia Civil iniciaron, en el marco de la Investigación 'Mooring' y de la Operación 'Linepipe', un proceso de análisis técnico de los archivos y de la documentación aportada en las denuncias iniciales, con el objetivo de determinar el método utilizado y localizaron así el origen de los movimientos bancarios.

Comprobaron que varios de los correos electrónicos utilizados por las empresas para remitir las facturas se encontraban infiltrados. Eso les llevó a concluir que se trataba de un ataque EAC, Email Acount Compromise, que es una técnica que utilizan desde hace poco tiempo los ciberdelincuentes para llevar a cabo este tipo de estafas que, según advierten fuentes de la Guardia Civil, son cada vez más comunes.

Sistema EAC, Email Account Compromise

Mediante este sistema, los ciberdelincuentes comprometen la cuenta de correo de su posible víctima mediante el robo de credenciales con el fin de acceder a toda la información que se guarda en el correo electrónico, como historial, destinatarios comunes y clientes, archivos adjuntos, firma o configuraciones.

Los ciberdelincuentes se aseguran de mantener el acceso a la cuenta en el tiempo, creando reglas de reenvío de correos o cambiando los permisos, un conocimiento y una capacidad de acceso que les permite intervenir en cualquier conversación y enviar correos convincentes en nombre de la víctima. Con este método, pueden modificar las facturas reales y cambiar el número de cuenta, por lo que el dinero se desvía a sucursales bancarias que, en este caso, fueron localizadas en Las Palmas de Gran Canaria.

Una vez recabados todos los datos e identificadas las personas que recibieron el dinero de manera fraudulenta, los investigadores, en colaboración con efectivos de la Guardia Civil de Las Palmas de Gran Canaria, procedieron a la investigación de dos mujeres residentes en la isla como presuntas autoras de tres delitos de estafa por valor total de más de 24.000 euros.