En las dos últimas décadas, la Gestión de Tesorería en las Entidades Locales ha sufrido una fuerte evolución esencialmente por el impacto de las nuevas tecnologías en los procesos de pagos. El pago de obligaciones ha ganado en eficiencia en su mecanismo de gestión, pero indefectiblemente han aumentado las problemáticas de seguridad a consecuencia de los fraudes.
Desde hace varios años, observamos que los fraudes en los pagos se están produciendo en empresas y administraciones públicas, normalmente por el método de la suplantación de la identidad de los terceros legítimos beneficiarios del pago.
Esta estafa inicialmente comenzó con el “fraude del CEO”, pero los niveles de tecnificación de la ciberdelincuencia han pasado a un estadio superior denominado con el nombre en inglés “’man in the middle”. Estos fraudes están causando un auténtico perjuicio económico en Empresas y Administraciones Públicas que acaban cayendo en un engaño en apariencia sencillo, pero que necesita de expertos informáticos para llevarla a cabo.
El fraude del CEO es uno de los delitos más perjudiciales desde el punto de vista económico, también conocido como Business Email Compromise (BEC), es un ataque en el que un ciberdelincuente se hace pasar por el director general u otro alto ejecutivo de una organización y envía un correo electrónico para engañar a un empleado para que realice transferencias no autorizadas o envíe información confidencial.
En cambio “Man-in-the-Middle (MitM)”, que en español significa “hombre en el medio”, es un tipo de ataque destinado a interceptar, sin autorización, la comunicación entre dos dispositivos (hosts) conectados a una red. Este ataque le permite a un agente malintencionado manipular el tráfico interceptado de diferentes formas, ya sea para escuchar la comunicación y obtener información sensible, como credenciales de acceso, información financiera, etc.…, o para suplantar la identidad de alguna de las partes. Para que un ataque “MitM” funcione correctamente, el delincuente debe asegurarse que será el único punto de comunicación entre los dos dispositivos, es decir, el delincuente debe estar presente en la misma red que los hosts apuntados en el ataque para cambiar la tabla de enrutamiento para cada uno de ellos.
La estafa del intermediario parte con una interceptación por parte de los ciberdelincuentes informáticos de los correos electrónicos que se cruzan su víctima -empresas y administraciones- con clientes y proveedores. Del seguimiento de esas comunicaciones, los hackers descubren qué facturas están pendiente de pago y cuándo es el plazo de cobro. Llegado el momento oportuno, se hacen pasar por uno de esos proveedores para, a través de un correo electrónico, informar a la víctima que el pago de la factura se debe hacer en una nueva cuenta corriente que se ha habilitado.
Los ciberdelincuentes usan la misma dirección de correo y hasta llegan a falsificar certificados bancarios para que el engaño sea creíble. Cuando el dinero es ingresado en la cuenta fraudulenta, de inmediato, es transferido a segundas y terceras cuentas, perdiéndose su rastro en escasos días. Normalmente las cuentas se aperturan nombre de un desconocido.
Afortunadamente el impacto de estos fraudes en las Administraciones Públicas, y especialmente en las Entidades Locales ha sido menor que en las Empresas, porque éstas han establecido con carácter general un conjunto de requisitos mínimos de seguridad en la lucha contra el fraude (protocolo de buenas prácticas), dado que la suplantación de identidad y los fraudes en los procesos de pagos es moneda común de estos tiempos.
Uno de los factores que han incidido en ello es el uso de la Factura Electrónica que aumenta la seguridad en las transacciones ya que permite la designación y por tanto la validación y acreditación de las cuentas de terceros ante la Tesorería Local.
El incremento de los canales de cobros y pagos normalizados (CSB) y sistemas de cobros electrónicos, ha dado lugar a la Directiva PSD2 (Directiva (EU) 2015/2366) que es una regulación europea sobre servicios de pagos electrónicos y cuyo objetivo es aumentar la seguridad de los pagos en Europa, promover la innovación y favorecer la adaptación de los servicios bancarios a las nuevas tecnologías, no corrige la problemática de la suplantación de identidad.
El pago mediante transferencia bancaria en los 34 países de la zona europea se normalizo gracias a la identificación de las cuentas con IBAN (International Bank Account Number,; 20 números + cuatro caracteres que identifican el país y el número de control del IBAN), fuera de la UE se utiliza el BIC (Business Identifier Code) o SWIFT.
Esta directiva PSD2 para las Entidades Locales ha sentado las bases para acceder a la banca online y reforzar la seguridad en los pagos electrónicos realizados, es la actualización de la directiva anterior que amplía su ámbito de actuación eliminando fragmentaciones nacionales,
Gracias a la PSD2 se introducen controles de seguridad que evitan fraudes online como la suplantación de identidad del emisor de pagos. De esta forma, es impracticable que un posible infractor pueda realizar operaciones en nuestro nombre y acceder a los productos y servicios contratados.
El refuerzo de la seguridad introducido por la directiva PSD2 evita los pagos online no autorizados y evita que se pueda hacer uso de una tarjeta de crédito robada gracias a los procedimientos PSD2 de SCA de doble factor de autenticación.
En definitiva, dicha Directiva ha aumentado la seguridad en las transacciones, fundamentalmente por la validación y autentificación del ordenante, pero a la vez como hemos comentado se está produciendo un fenómeno de incremento de la ciberdelincuencia a través de la suplantación de identidad en los procesos de acreditación de terceros, en definitiva, en el receptor de pagos.
