Escuchar“Hola. Este pago fue aprobado y enviado esta mañana, por favor confirme los detalles del beneficiario y firme. Gracias”, reza el texto de un correo electrónico fraudulento.
Adjunto al mensaje aparece un documento con el nombre de “factura electrónica”.
Una vez que este mensaje ingresa a la computadora de un contador o de un funcionario de recursos humanos de una compañía, es normal que se proceda a abrir el archivo adjunto debido a que existe la duda acerca de cuál pago se efectuó dentro de la empresa.
Resulta que ese archivo va contaminado con un ransomware –programa malicioso que se ejecuta en las computadoras de las víctimas– que le abre las ventanas a los ciberdelincuentes para robar la información sensible de las empresas y luego solicitar recompensas.
Una vez que la víctima pulsa doble clic sobre el adjunto, no hay vuelta atrás.
LEA MÁS: (Video) Principales dudas de los contribuyentes con la factura electrónica
Esta técnica forma parte de los timos que usan los criminales para estafar a los contribuyentes.
Aprovechan el desconocimiento que todavía existe en relación con factura electrónica y con ayuda del “phishing” –técnica de ingeniería social–, se engaña a la víctima para que entregue desde sus datos personales hasta dejar expuesta toda la información de su compañía.
En vivo: Evite ser víctima de estafas con factura electrónica. Conversamos con Esteban Jiménez, experto en ciberseguridad.
Posted by El Financiero on Monday, January 7, 2019
Si no me da la información lo multamos
En Costa Rica se muestra un aumento en las denuncias por delitos informáticos que se presentan ante el Organismo de Investigación Judicial (OIJ).
Datos de la institución muestran que entre el 1 de enero de 2017 al 28 de noviembre de 2018 se contabilizaron 2.328 denuncias, de las cuales, 1.042 se hicieron en el 2017 y 1.286 el año pasado.
LEA MÁS: Las tres principales amenazas cibernéticas de Costa Rica
Las denuncias más comunes son la estafa con tarjeta y su uso vía Internet, la estafa con tarjeta sin consentimiento y la estafa informática.
Ahora con el uso de la factura electrónica, los riesgos aumentan.
“A inicios del año pasado comenzamos a ver el impacto de una combinación de una baja educación del usuario, una población que no estaba preparada para comenzar en factura electrónica, incluso muchos no sabían cómo se veía una, tampoco sabían el proceso de crear una cuenta... Todo esto al ser una migración masiva dio pie a que se hiciera un nicho de estafa electrónica”, explicó Esteban Jiménez, fundador de ATTI CyberLabs.
Usted se puede preguntar ¿cómo se puede detectar que se está ante un timo de factura electrónica?
LEA MÁS: Factura electrónica carece de validez en casos de cobro de deuda a los clientes
Las estafas se dan tanto vía telefónica como por correo electrónico y estas son las cinco principales:
1. Falsificación: El estafador envía un correo en el cual le solicita a la víctima completar un formulario con los datos personales con el fin de completar la facturas. Estos datos posteriormente son utilizados para enviar a otros negocios facturas que parecen oficiales para lograr un timo más creíble y expandir su base de contactos.
2. Ransomware adjunto: Con la base de datos que lograron construir los criminales, ahora se enfocan en enviar oleadas de correos electrónicos inyectados con ransomware especialmente a los funcionarios en departamentos financieros quienes únicamente validan la línea del “asunto”.
“Esta acción representa probablemente la causa del pico más alto de infecciones por ransomware que el país ha tenido en su historia”, señaló Jiménez.
La principal recomendación es que las empresas entrenen al personal que trabaja con factura electrónica para que sean capaces de reconocer los correos falsos, así como tener total claridad de quién es el proveedor de factura para así reconocer cuáles son las verdaderas.
Una búsqueda rápida en Google del nombre del proveedor que aparece en el correo electrónico también le podrá ayudar a determinar si está ante una estafa y no dar clic en adjuntos sospechosos.
3. Verificación de cuentas: La víctima recibe una llamada telefónica por parte de un supuesto funcionario del Ministerio de Hacienda y le solicita sus datos personales y bancarios para “ayudar” al contribuyente a ingresar a sus cuentas y verificar el estado de “conexión” con el sistema de Hacienda para consultar los montos del pago de impuestos.
“En varias oportunidades se detectó que el estafador le indicaba a la víctima que antes de poder migrar a la facturación electrónica se debía de realizar el pago de impuestos, y que se podía hacer vía telefónica con tarjeta de crédito o débito, lo cual era falso”, dijo Jiménez.
4. Instalar un programa: El estafador le solicita a la víctima instalar un software como requisito para que el sistema de Hacienda funcione apropiadamente y pueda emitir las facturas.
Esto es falso, la víctima lo que hace en realidad es instalar un programa espía mediante el cual el atacante obtiene toda la información que se encuentra en el dispositivo.
5. Asesoría: El contribuyente es contactado por el estafador quien se hace pasar por un funcionario del Ministerio de Hacienda y se ofrece a brindarle una “asesoría” para configurarle la factura electrónica adecuadamente. El delincuente solicita un pago electrónico por dicha ayuda, la cual nunca se da.
El Ministerio de Hacienda manifestó que nunca se le pedirá al contribuyente información personal vía telefónica. En caso de que la institución necesite comunicarse con el usuario, se hará una citación física en las oficinas tributarias o bien le ingresará un mensaje al buzón electrónico del sistema de Administración Tributaria Virtual (ATV).
LEA MÁS: Factura electrónica: ¿Quiénes no están obligados? ¿Quiénes tienen una prórroga?
Como cliente, cuide sus datos
Para los clientes existe otro riesgo, ya que algunos comercios se están aprovechando del tema de factura electrónica para solicitarle a los compradores más datos de los que en realidad se necesitan para generar el documento digital.
La Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales establece que el comercio debe solicitar al cliente únicamente el número de cédula, nombre del cliente y dirección de correo electrónico.
Esta información no debe utilizarse con otros fines fuera de aquellos que le son anunciados al cliente y de requerirse información adicional el cliente tiene por ley el derecho de saber la razón y puede negarse a dar información extra.
A la fecha, la Agencia de Protección de Datos de los Habitantes (Prodhab) no ha recibido denuncias con respecto al mal tratamiento de datos en relación con la factura electrónica, afirmó Ana Karen Cortés, directora de la agencia.
No obstante, Prodhab recomendó que es importante que, cuando deba facilitar sus datos en razón de la factura electrónica, brinde únicamente los necesarios.
Números de teléfono, direcciones, fecha de nacimiento, datos financieros ni otros datos que sirven como herramientas de mercadeo tienen que ser solicitados por parte de los comercios.
En caso de recibir llamadas sospechosas o si es víctima de fraude, el Ministerio de Hacienda habilitó en su página web el formulario Denuncie Ya.
Una de las grandes claves para sospechar de un timo es el sentido de urgencia que tiene el criminal. Frases como “si no me da la información lo multamos” es de los principales indicios.
Delitos informáticos denunciados ante el OIJ en 2018
| Delito | Cantidad de denuncias |
|---|---|
| Estafa informática | 1.108 |
| Facilitación de delito informático | 66 |
| Seducción de menores | 50 |
| Espionaje informático | 31 |
| Sabotaje informático | 18 |
| Daño informático | 10 |
| Instalación o propagación de programas maliciosos | 3 |
| Total | 1.286 |
