La estafa del cambio de numeración de su cuenta en las transferencias: “Envié dinero a Brad Pitt y le llegó”

El empresario Iñaki Barreiro esperaba el pago de una factura de 52.000 euros por unos acristalamientos. Su cliente le había prometido que le pagaría tan pronto como recibiera el dinero de una promotora. Barreiro mandó un recordatorio con la factura a finales de noviembre de 2021. El pago se produjo el 9 de diciembre. Todo parecía perfecto, pero hubo un problema: en los días en que la factura había estado esperando el pago, alguien había cambiado la numeración de la cuenta donde pagar.

“Fue el fin de año ideal”, recuerda con sorna Barreiro en conversación telefónica con EL PAÍS. Aún no se explica cómo un banco pudo aceptar una transferencia que iba a su nombre pero a otro número de cuenta. El propio Barreiro quiso hacer una prueba entre dos cuentas suyas en dos bancos distintos. Rellenó el número de cuenta, la cantidad y el concepto. Primero dejó el titular de la cuenta en blanco. La aplicación no le permitió hacer la operación. Luego escribió “Brad Pitt” y el dinero fue transferido sin problema. La cuenta receptora era de Iñaki Barreiro, no de Brad Pitt, pero el dinero llegó igual.

EL PAÍS ha hablado con tres empresas guipuzcoanas que entre diciembre y enero han visto cómo más de 100.000 euros que mandaban o debían recibir iban a parar a cuentas de estafadores, que en seguida lo movían, sacaban y se evaporaba. ”Desde que me ha pasado, solo oigo casos de gente a quien les ha ocurrido lo mismo”, dice Barreiro.

Este tipo de delitos son muy frecuentes y su solución es compleja por tres motivos: el acceso a las cuentas de correo de las víctimas requiere menos habilidad de lo que parece, la captura de los delincuentes es compleja y la hipotética recuperación del dinero acaba implicando laboriosas batallas judiciales contra bancos. Mientras, las autoridades siguen pidiendo a las personas que vayan con más cuidado. Pero no es fácil. Así es como está hoy cada uno de estos frentes.

Cómo entran a mi correo

Ni Kristina ni Silvia, dos empleadas de compañías de Gipuzkoa afectadas por una estafa igual que la de Barreiro, saben cómo accedieron a la cuenta de correo u ordenador. Ambas han pedido a este periódico no aparecer con su nombre completo para no perjudicar más a sus empresas. Buscaron la opinión de expertos y, sin una investigación concreta y larga, las respuestas que han recibido han sido vagas e incompletas: “Yo llamé al Instituto Vasco de Ciberseguridad, me contestaron, me pusieron número de expediente y me dijeron que era un ataque”, afirma Silvia.

Cuando quiso saber si habían entrado a su correo, en el de la empresa proveedora, si estaban en su ordenador o aún viendo sus correos, la respuesta fue igual de poco específica: “Es un ataque de ‘hombre en el medio’ y en un 99% de opciones el ataque ocurre cuando el correo se ha enviado, cuando circula es cuando roban”, le explicaron, según Silvia.

A Kristina le dijeron algo similar cuando llamó a su proveedor privado de correo: “Me contaron que cuando mandas un mensaje, digamos que ese mensaje se hace cachitos y coge un montón de caminos y en un camino es donde se meten ellos”, dice en un encuentro con EL PAÍS en San Sebastián. Son explicaciones nada satisfactorias, que complican aún más la comprensión de los ciudadanos.

Estos ataques pueden lanzarse de muchos modos. Un método sencillo es el envío masivo de archivos adjuntos infectados, ya sea de Word, Excel o pdf. Estas empresas no paran probablemente de abrir adjuntos de este tipo sin fijarse mucho, porque es parte cotidiana de su trabajo. Uno de esos puede ser falso e incluye un programa malicioso que se instala automáticamente en el ordenador e intercepta todos los correos que salen: el delincuente puede filtrar sin mucho problema los correos donde aparezca “factura” o “pago”. (Si estas empresas, por ejemplo, hubieran usado el euskera para intercambiarse mensajes, quizá se hubieran salvado.)

Así, cuando el usuario da a “enviar”, el programa lo manda al estafador, que cambia el número de cuenta corriente y todo lo que quiera y lo devuelve al programa para que se envíe desde la cuenta original.

Este solo es un modo de hacerlo. Otra opción es robar la contraseña mediante un enlace a una página falsa de acceso remoto al email controlada por los atacantes. Si fuera así, los delincuentes tienen acceso a la bandeja de entrada y mandan o borran correos sin problema. Hay más maneras. Para un atacante, sobre todo si no está cerca físicamente de las víctimas, es más fácil cualquiera de estas cosas que hacer interceptación del tráfico de red.

Cómo capturar a los delincuentes

“Nosotros vamos con el vehículo policial y el delincuente va en el halcón milenario”, dice el inspector jefe de la Policía Diego Alejandro. “Tenemos que ser conscientes de eso, pero siempre hay algún hilo del que tirar y nos aferramos”, añade. Hay estafadores que viven en España, pero mucho se hace desde el extranjero o el dinero acaba en cuentas bancarias de otros países. Esto hace, según Alejandro, que si hay éxito sea “a medio o largo plazo”.

La policía debe identificar el origen de los ataques a través de la localización e identificación de la dirección IP de origen. “Cuando determinamos que una IP está asociada a un equipo, debes mirar quién hay detrás”, dice Alejandro. “No es tan fácil. Puede ser que esté en un locutorio o un centro de negocio o una casa donde es el vecino quien coge la red wifi de una familia común”, añade.

Esta vía penal, por su lentitud o final poco práctico, suele ser de poco consuelo para las víctimas que han perdido miles de euros.

Cómo recuperar el dinero

Para el dinero, queda la vía bancaria. No hay aparentemente un plan infalible. Distintos abogados buscan debilidades jurídicas según los casos. El abogado Isaac F. Pérez, especializado en derecho digital en el despacho tinerfeño Sirvent y Granados, lleva 15 casos de este tipo desde 2017. Ha ganado tres que, tras los recursos de entidades bancarias, están en el Tribunal Supremo para ver si finalmente confirma las sentencias de instancias menores. Pero llevará años aún.

“Nuestro éxito ha sido demandar en la vía civil a los bancos por aceptar una transferencia dirigida a nombre de otra persona”, dice Pérez. Fuentes bancarias han contestado a este periódico que se acogen al protocolo bancario común, el SEPA (siglas en inglés de “zona única de pagos en euros”): el único identificador válido que se verifica a la hora de realizar transferencias es el IBAN o número de cuenta.

Aunque Pérez recurre, sobre todo, a un real decreto de 2018 sobre servicios de pago. En uno de sus artículos establece que la entidad bancaria debe poner los fondos a disposición del beneficiario cuando esa persona no tenga una cuenta en esa entidad. ¿Y si esa persona tiene cuenta en la misma entidad? “Esta es una de las claves”, afirma Pérez. “Lo que dice la ley es que tienes que darle el dinero al beneficiario, no a un número de cuenta. El número identifica una cuenta bancaria, pero esa cuenta es de una persona. Debes darle el dinero al beneficiario y en caso de que haya una disonancia entre el número y la persona, o bien lo pones a disposición del beneficiario o lo devuelves porque hay un problema”, añade.

De momento, las instancias jurídicas han dado la razón al bufete en casos nacionales, porque el decreto prevalece sobre el protocolo SEPA: “El decreto es una norma, mientras que el protocolo SEPA es el funcionamiento de los pagos en la Unión Europea, pero no es una norma. Aunque no es lo único que valora el juez, presentamos otros argumentos jurídicos”, añade Pérez.

Si el Supremo le diera la razón, el banco debería asumir el dinero defraudado por los estafadores. Es una batalla importante. Solo el despacho de Pérez lleva casos de varios cientos de miles de euros.

Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter o apuntarte aquí para recibir nuestra newsletter semanal.