El placer de los estafadores
Los ciberdelincuentes pocas veces descansan, siempre y en toda circunstancia buscando vulnerabilidades para explotar, y ahora apuntan cada vez más a las transacciones comerciales privadas en lo que se conoce como un ataque de compromiso de correo empresarial (BEC). En tal violación, un ciberdelincuente se infiltra en el sistema de e mail de una empresa y se hace pasar por el propietario de una importante cuenta de correo electrónico de la empresa. Fingiendo ser un ejecutivo específico, el ladrón manda un correo a otra empresa con la que el primero tiene una relación continua, enviando instrucciones de envío de dinero legítimamente adeudado a una cuenta bancaria establecida y controlada por los autores del plan.
El receptor del correo electrónico, pensando que el mensaje es auténtico, trasfiere el pago a la cuenta del criminal. Para cuando los dos negocios se dan cuenta de que han sido engañados, es ya demasiado tarde, y el dinero que el segundo mandó al primero ya ha desaparecido.
¿Qué pasa después de algo como esto? ¿Puede una compañía victimizada recuperar los fondos robados? ¿Puede esperar recuperarse del propio delincuente? Si no se puede hallar al autor, ¿puede la empresa defraudada recuperar el dinero del que ha pirateado sus sistemas?
El hackeo de empresas es un buen negocio
Conforme el Centro de Demandas de Delitos en Internet del FBI (conocido como "IC3"), los ciberataques del BEC contra empresas estadounidenses han ocasionado más de 8.200 millones de dólares en pérdidas desde dos mil trece, con mil setecientos millones de dólares americanos adicionales en pérdidas ajustadas solo en 2019, las mayores pérdidas de bolsillo estimadas de cualquier clase de delito cibernético en ese periodo. El IC3 asimismo estima que las pérdidas mundiales han superado los veintiseis millones de dólares en los últimos tres años. Dado que muchos de estos delitos no se denuncian, la cifra real es seguramente mucho más alta.
Los ataques del BEC se producen poco a poco más en las transacciones comerciales privadas pues los criminales, simplemente, ven la vulnerabilidad. Las empresas participan en intercambios regulares en los que el comprador adquiere una cantidad determinada de recursos a un vendedor y, con el tiempo, los ejecutivos establecen relaciones con sus homólogos. La naturaleza de este intercambio amistoso normalmente genera un grado de confianza del que los ciberdelincuentes se aprovechan con entusiasmo.
En un escenario típico, un ataque BEC se produce con el delincuente apuntando a un ejecutivo de una empresa determinada. Afirmemos que la compañía A suministra piezas de automóviles a la empresa B en un horario establecido, para lo cual esta última le trasfiere el pago. Sabiendo esto, el criminal se infiltrará en el sistema de e mail de la Compañía A, frecuentemente por medio de un esquema de "phishing", enviando un e-mail falso o un enlace web. Cuando se hace clic en él, la cuenta objetivo se ve comprometida. El criminal puede entonces monitorear los mensajes y la actividad de la cuenta, familiarizándose con la manera en que el ejecutivo de la compañía A emplea el correo electrónico y de qué forma exactamente se producen las transacciones con la compañía B. Al detectar una buena oportunidad, el delincuente manda un mensaje falso o bien comprometido solicitando la transferencia electrónica.
En este escenario, la empresa A se ve perjudicada pues ha hecho la entrega habitual a la empresa B pero no ha recibido el pago. La empresa B también se ve perjudicada pues ha emitido el pago destinado a la empresa A mas ahora en las arcas del criminal. Generalmente, la compañía A demandará un pago lícito a la compañía B, o le demandará que devuelva la mercancía. ¿A dónde ir desde acá?
Recobrar los activos de un ataque cibernético del criminal
Tras un ataque de la BEC, es posible que las compañías víctimas recuperen los activos perdidos. El IC3 del FBI notificó que en 2019, su Equipo de Activos de Restauración fue capaz de recobrar aproximadamente el setenta y nueve por ciento de las pérdidas potenciales por las reclamaciones que fueron remitidas al Equipo de Activos de Recuperación, por un total de trescientos cuatro con nueve millones de dólares estadounidenses. No obstante, para tener alguna esperanza de conseguir la recuperación del criminal, una compañía víctima debe denunciar el fraude al FBI o a otras fuerzas del orden, y hay múltiples razones por las que una empresa podría ser reacia a hacerlo. Según el Departamento de Justicia, desde dos mil dieciseis, sólo el quince por ciento de las víctimas de fraude empresarial en todo el país denuncian el delito.
¿Por qué razón las compañías son tan cautas? Primeramente, una compañía puede considerar la persecución de un ciberdelincuente como una pérdida de tiempo y de recursos, singularmente cuando se determina que el hacker está operando en el extranjero. En verdad, debido a que tantos ciberdelincuentes ejercen su actividad fuera de los U.S.A., frecuentemente es exageradamente bastante difícil hacerles rendir cuentas.
Seguidamente, la detención del autor puede no ser la mayor prioridad de la empresa. En cambio, se centrará en reforzar los controles internos para asegurar que no vuelva a ser víctima, así como en cumplir sus obligaciones legales de notificar a los reguladores y a las partes perjudicadas. Podría preocuparle la publicidad negativa o el daño a su reputación. Es probable que estas preocupaciones sean exageradas, mas podrían llevar a una compañía a intentar solucionar las controversias conexas con sus asociados de forma informal o bien en los tribunales civiles.
Restauración de activos del socio comercial
Cuando una empresa no puede recobrar el dinero robado por un ciberdelincuente, puede decidir buscar la restauración del asociado comercial. Cuando tales disputas no pueden ser resueltas informalmente, conducen a pleitos, centrándose exactamente en qué parte fue más negligente en la habilitación del esquema: ¿Fue la empresa A, cuyo sistema de e-mail fue inicialmente pirateado, o bien la compañía B, que mandó el pago a una cuenta fraudulenta?
En los últimos tiempos se han visto un puñado de resoluciones judiciales que implican a víctimas del esquema BEC que se han demandado entre sí. ¿Qué compañía debería aceptar el riesgo de pérdida? Hasta el momento los tribunales han adoptado un enfoque similar para estos casos.
El primer caso relevante fue una disputa de dos mil quince, Arrow Truck Sales contra Top Quality Truck & Equipment, Inc., en la que una empresa, Top Quality, negoció la venta de un grupo de camiones a la otra por quinientos setenta dólares americanos. Tanto el sistema de e-mail del vendedor como el del comprador fueron pirateados por estafadores externos que enviaron instrucciones "actualizadas" de cableado al comprador, Arrow Truck, que las creyó reales; los delincuentes se salieron con la suya por el coste total de adquiere de 570.000 dólares.
El tribunal de distrito apuntó que no había jurisprudencia aplicable sobre la cuestión de qué parte soportaba la pérdida derivada del fraude de un tercero que provocaba el incumplimiento del contrato. En su lugar, tomó como guía el Código Comercial Uniforme, que establece, bajo la "regla del impostor", que la parte que padece la pérdida es la que está en mejor situación para prevenir una falsificación ejerciendo un cuidado razonable. Después de un juicio de prueba, el tribunal determinó, sobre la base de esos argumentos, que el comprador de los abogado con mucha experiencia camiones debía asumir la pérdida. "Las instrucciones [del cable] implicaban una información totalmente diferente de todas las instrucciones precedentes", observó el tribunal. "En pocas palabras, [Arrow Truck] debió haber ejercido un cuidado razonable después de recibir correos electrónicos contradictorios que contenían instrucciones de cable contradictorias, llamando a [Top Quality] para confirmar o bien contrastar las instrucciones de cable adecuadas antes de mandar los quinientos setenta dólares estadounidenses. Como tal, Arrow debería padecer la pérdida asociada con el fraude."
En un caso de dos mil dieciseis, Bile contra RREMC, un abogado llamado Uduak Ubom fue hackeado en su mail. Ubom representó a Amangoua Bile, un usuario que terminaba de llegar a un acuerdo de sesenta y tres dólares con su antiguo empleador en una demanda por discriminación en el uso. El estafador usó el correo de Ubom para enviar instrucciones de cableado actualizadas al despacho de abogados que representaba al empleador. Cuando el bufete siguió esas instrucciones, el delincuente hurtó el dinero. Bile y su viejo empleador, RREMC, presentaron mociones para hacer cumplir el acuerdo. El tribunal celebró una audiencia probatoria y determinó que Ubom no había observado el cuidado ordinario, lo que contribuyó al robo y, por tanto, Bile sufrió la pérdida. En particular, el tribunal determinó que Ubom tenía conocimiento de un intento de fraude días antes que se generara el traslado, mas no lo notificó al abogado de la oposición. Así pues, el tribunal adoptó una norma conforme la que "cuando un letrado tiene conocimiento efectivo de que un tercero avieso tiene como propósito uno de estos casos con pretensión fraudulenta, el letrado debe alertar al abogado de la oposición o debe asumir las pérdidas a las que su descalabro contribuyó substancialmente".
Un par de años después, en el caso Beau Townsend Ford Lincoln, Inc. contra Don Hinds Ford, Inc., este último concesionario de vehículos acordó adquirir veinte SUV al primero. Al final del trato, un delincuente se infiltró en la cuenta de mail de Townsend y mandó un mensaje solicitando que Hinds pagara por los vehículos a través de una transferencia a un banco fuera del estado. Hinds, creyendo que el billete era genuino, inadvertidamente trasfirió el dinero al criminal y recogió los todoterrenos. Cuando Townsend pidió después a Hinds que los devolviese, Hinds se negó, y Townsend demandó por incumplimiento de contrato, entre otras muchas causas de acción.
El tribunal de distrito concedió un juicio sumario a Townsend. Ambas partes fueron negligentes: Townsend "debería haber mantenido un sistema de e mail más seguro y haber tomado medidas más veloces al enterarse http://unabogadocentroahora.yousher.com/lo-que-abogados-penalistas-malaga-nos-dicen-sobre-ser-representado-por-el-mejor-penalista de que podría haber sido comprometido", observó, al paso que Hinds "debería haber comprobado que un agente real de Beau Townsend pedía que enviara dinero por transferencia bancaria". Sin embargo, el tribunal sostuvo que Hinds incumplió el acuerdo porque Townsend "no había recibido ningún fondo de Don Hinds[.]"
El Sexto Circuito, en la apelación, dio marcha atrás, encontrando el enfoque del tribunal de distrito demasiado simplista. El Sexto Circuito razonó que el caso debía ser evaluado de dos maneras: bajo la ley de contratos y la ley de agencias. Bajo la ley de contratos, el tribunal de circuito encontró que el caso se basaba en el principio de error mutuo: "[O]stas partes mantuvieron la creencia errónea de que habían acordado un método de pago". Dado a que la rescisión del contrato -un antídoto común para un fallo mutuo- no era una alternativa (Hinds no podía devolver los vehículos utilitarios deportivos sin haber pagado el precio de compra de 730.000 dólares americanos), el Sexto Circuito recurrió a otra predisposición de la Restauración (Segunda) de los Contratos, que establece que el tribunal puede asignar el peligro de pérdida a una parte cuando "es razonable en las circunstancias hacerlo". A continuación, el tribunal examinó tanto el caso Arrow Truck como el de Bile, concluyendo que el tribunal de distrito, en prisión precautoria, debería determinar "si el hecho de que Beau Townsend o bien Don Hinds no ejercitaran el cuidado ordinario contribuyó al éxito del pirata informático, y entonces tendría que repartir la pérdida de acuerdo con su fallo comparativo".
El Sexto Circuito también aplicó los principios de la agencia para respaldar su punto de vista de que el peligro de pérdida podría ser repartido entre las dos partes. Aplicando el Restatement y la ley de Ohio, el tribunal determinó que si "Beau Townsend no había ejercido el cuidado ordinario en el mantenimiento de su servidor de correo, permitiendo así al pirata informático hacerse pasar por [un empleado], entonces Beau Townsend podría ser responsable de la confianza razonable de Don Hinds en los correos del hacker. Además de esto, cualquier responsabilidad potencial se reduciría si Don Hinds tampoco ejercitara un cuidado razonable". Finalmente, el tribunal de circuito ordenó al tribunal de primera instancia "festejar un juicio para decidir si y hasta qué punto cada parte es quien se encarga de la pérdida de 730.000 dólares estadounidenses en este caso". Para esto, el tribunal debe decidir qué parte "estaba en la mejor situación para prevenir el fraude".
En esencia, Beau Townsend defiende la proposición de que cuando un tercero delincuente roba dinero de una transacción contractual entre otros 2, un tribunal de distrito debe realizar una investigación de los hechos para determinar cuál de las partes debe soportar la pérdida: la que haya sido más negligente por el hecho de que estaba en la mejor situación para prevenir el fraude. Si ambas partes son negligentes, la pérdida puede repartirse entre ellas.
Atención: Riesgos futuros
Recobrar el dinero de un ataque de compromiso de mail empresarial es difícil. La única forma de recobrarse del criminal que lanzó el ataque es hacer que las fuerzas del orden se involucren. Una compañía puede ser reluctante a hacer eso para comenzar, y si el delincuente está operando fuera del país, la recuperación es probablemente imposible.
Una empresa que haya sido víctima de un ataque de la BEC podría decidir proceder contra un socio comercial, alegando que fue la negligencia de esa parte la que permitió que el ataque tuviera éxito. Presentar una demanda de este género, como es natural, puede tener algún costo: El litigio terminará por evaluar qué empresa podría haber evitado mejor el plan y cuáles son las mejores prácticas de seguridad interna. Las compañías deben proceder con cautela al presentar una demanda, salvo que estén seguras de que sus protocolos de seguridad resistirán el escrutinio. De lo contrario, podrían ser víctimas por segunda vez.
Santosh Aravind, asociado de Scott, Douglass & McConnico, es un experimentado abogado litigante que representa a personas y empresas en investigaciones penales de cuello blanco, procedimientos de aplicación de la normativa, asuntos de seguridad cibernética y pleitos comerciales complejos. Santosh ha representado a clientes en procedimientos iniciados por la Comisión de Valores y Bolsa, el Departamento de Justicia de los U.S.A., la Oficina del Fiscal General de Texas, la Oficina del Fiscal General de Massachusetts y múltiples organismos estatales de Texas.