La Guardia Civil de Lugo investigó a dos personas, residentes en las provincias de Murcia y Almería, como presuntas autoras de dos delitos de estafa y blanqueo de capitales, tras un fraude de 105.000 euros a dos ayuntamientos de la provincia de Lugo.
Según ha informado el Instituto Armado en un comunicado, la investigación comenzó después de que dos ayuntamientos lucenses fuesen víctimas de un fraude de correo electrónico comprometido (business email compromiso o BEC), también conocido como fraude del CEO.
Los ciberdelincuentes suplantaron la identidad de proveedores habituales con el objetivo de manipular órdenes de pago y desviar fondos públicos a cuentas bancarias bajo su control.
Sin embargo, la rápida actuación de la Guardia Civil, en coordinación con las entidades bancarias, permitió bloquear las trasferencias fraudulentas y recuperar la totalidad del dinero desviado, cerca de 105.000 euros.
Las investigaciones, en el marco de la operaciones ‘Cimbre y Castronet’, fueron desarrolladas por la unidad orgánica de policía judicial de la Guardia Civil de Lugo, dentro de los protocolos de investigación tecnológica establecidos para este tipo de delitos.
FRAUDE BEC
La Guardia Civil ha detallado que este fraude constituye una modalidad de ciberdelincuencia basada en técnicas de ingeniería social y en la manipulación de comunicaciones electrónicas aparentemente legitimas.
Los delincuentes consiguen que el personal administrativo crea estar recibiendo instrucciones auténticas para modificar cuentas bancarias, tramitar facturas o realizar transferencias urgentes.
Así, entre los métodos que más usan destacan: la suplantación de proveedores habituales, solicitando el cambio del número de cuenta para futuros pagos, la interceptación de correos electrónicos reales y la modificación de documentos adjuntos sin que le destinatario lo advierta, y la creación de dominios de correo prácticamente idénticos a los oficiales para inducir a error al personal administrativo.
En este sentido, la Guardia Civil recomienda a las administraciones públicas y a las empresas reforzar los protocolos internos de verificación antes de efectuar modificaciones en datos bancarios o autorizar pagos, comprobando siempre estas solicitudes a través de un canal alternativo de comunicación.

