El placer de los estafadores
Los ciberdelincuentes rara vez descansan, siempre y en todo momento buscando vulnerabilidades para explotar, y ahora apuntan poco a poco más a las transacciones comerciales abogado gratis privadas en lo que es conocido como un ataque de compromiso de correo electrónico empresarial (BEC). En tal violación, un ciberdelincuente se infiltra en el sistema de mail de una compañía y se hace pasar por el propietario de una importante cuenta de e mail de la compañía. Fingiendo ser un ejecutivo específico, el ladrón envía un correo a otra empresa con la que el primero tiene una relación continua, enviando instrucciones de envío de dinero legítimamente adeudado a una cuenta corriente establecida y controlada por los autores del plan.
El destinatario del mail, pensando que el mensaje es genuino, transfiere el pago a la cuenta del delincuente. Para cuando los dos negocios se percatan de que han sido engañados, ya es demasiado tarde, y el dinero que el segundo mandó al primero ya ha desaparecido.
¿Qué pasa tras algo como esto? ¿Puede una compañía victimizada recuperar los fondos robados? ¿Puede esperar recobrarse del propio criminal? Si no se puede localizar al autor, ¿puede la compañía defraudada recuperar el dinero del que ha pirateado sus sistemas?
El hackeo de empresas es un buen negocio
Según el Centro de Demandas de Delitos en Internet del FBI (conocido como "IC3"), los ciberataques del BEC contra empresas estadounidenses han ocasionado más de ocho mil doscientos millones de dólares en pérdidas desde 2013, con mil setecientos millones de dólares americanos auxiliares en pérdidas ajustadas sólo en dos mil diecinueve, las mayores pérdidas de bolsillo estimadas de cualquier tipo de delito cibernético en ese período. El IC3 también estima que las pérdidas mundiales han superado los veintiseis millones de dólares americanos en los últimos 3 años. Puesto que muchos de estos delitos no se denuncian, la cantidad real es seguramente mucho más alta.
Los ataques del BEC se generan cada vez más en las transacciones comerciales privadas porque los criminales, sencillamente, ven la vulnerabilidad. Las empresas participan en intercambios regulares en los que el comprador adquiere una cantidad determinada de bienes a un vendedor y, con el tiempo, los ejecutivos establecen relaciones con sus análogos. La naturaleza de este intercambio amistoso normalmente produce un grado de confianza del que los ciberdelincuentes se aprovechan con entusiasmo.
En un escenario habitual, un ataque BEC se produce con el criminal apuntando a un ejecutivo de una empresa determinada. Digamos que la empresa A suministra piezas de automóviles a la empresa B en un horario establecido, para lo cual esta última le transfiere el pago. Sabiendo esto, el criminal se infiltrará en el sistema de e-mail de la Compañía A, a menudo mediante un esquema de "phishing", mandando un mail falso o un enlace web. Cuando se hace click en él, la cuenta objetivo se ve comprometida. El criminal puede entonces monitorear los mensajes y la actividad de la cuenta, familiarizándose con la manera en que el ejecutivo de la compañía A utiliza el correo electrónico y cómo precisamente se generan las transacciones con la compañía B. Al advertir una buena oportunidad, el delincuente envía un mensaje falso o comprometido solicitando la transferencia electrónica.
En este escenario, la compañía A se ve perjudicada por el hecho de que ha hecho la entrega habitual a la empresa B pero no ha recibido el pago. La compañía B asimismo se ve perjudicada por el hecho de que ha emitido el pago destinado a la compañía A mas ahora en las arcas del delincuente. Normalmente, la compañía A demandará un pago lícito a la compañía B, o le exigirá que devuelva la mercadería. ¿A dónde ir desde acá?
Recuperar los activos de un ataque cibernético del criminal
Tras un ataque de la BEC, posiblemente las empresas víctimas recobren los activos perdidos. El IC3 del FBI notificó que en 2019, su Equipo de Activos de Recuperación fue capaz de recuperar aproximadamente el 79 por ciento de las pérdidas potenciales por las reclamaciones que fueron remitidas al Equipo de Activos de Restauración, por un total de trescientos cuatro con nueve millones de dólares. No obstante, para tener alguna esperanza de obtener la recuperación del criminal, una compañía víctima debe denunciar el fraude al FBI o a otras fuerzas del orden, y hay múltiples razones por las que una empresa podría ser reluctante a hacerlo. Según el Departamento de Justicia, desde 2016, solo el 15 por cien de las víctimas de fraude empresarial en todo el país denuncian el delito.
¿Por qué razón las empresas son tan cautas? En primer lugar, una compañía puede estimar la persecución de un ciberdelincuente como una pérdida de tiempo y de recursos, en especial cuando se determina que el hacker está operando en el extranjero. De hecho, debido a que tantos ciberdelincuentes ejercitan su actividad fuera de los E.U., frecuentemente es extremadamente difícil hacerles rendir cuentas.
En segundo lugar, la detención del autor puede no ser la mayor prioridad de la compañía. En cambio, se centrará en reforzar los controles internos para garantizar que no vuelva a ser víctima, así como en cumplir sus obligaciones legales de avisar a los reguladores y a las partes perjudicadas. Podría preocuparle la publicidad negativa o bien el daño a su reputación. Probablemente estas preocupaciones sean exageradas, mas podrían llevar a una compañía a intentar solucionar las controversias conexas con sus socios de forma informal o bien en los tribunales civiles.
Restauración de activos del socio comercial
Cuando una compañía no puede recobrar el dinero robado por un ciberdelincuente, puede decidir buscar la restauración del socio comercial. Cuando semejantes disputas no pueden ser resueltas informalmente, conducen a pleitos, centrándose en qué parte fue más negligente en la habilitación del esquema: ¿Fue la compañía A, cuyo sistema de correo electrónico fue en un inicio pirateado, o bien la empresa B, que envió el pago a una cuenta fraudulenta?
En los últimos años se han visto un puñado de resoluciones judiciales que implican a víctimas del esquema BEC que se han demandado entre sí. ¿Qué compañía debería aceptar el riesgo de pérdida? Hasta el momento los tribunales han adoptado un enfoque similar para estos casos.
El primer caso relevante fue una disputa de dos mil quince, Arrow Truck Sales contra Top Quality Truck & Equipment, Inc., en la que una compañía, Top Quality, negoció la venta de un conjunto de camiones a la otra por quinientos setenta dólares. Tanto el sistema de e-mail del vendedor como el del comprador fueron pirateados por estafadores externos que mandaron instrucciones "actualizadas" de cableado al comprador, Arrow Truck, que las creyó reales; los criminales se salieron con la suya por el coste total de compra de 570.000 dólares americanos.
El tribunal de distrito apuntó que no había jurisprudencia aplicable sobre la cuestión de qué parte soportaba la pérdida derivada del fraude de un tercero que provocaba el incumplimiento del contrato. En su lugar, tomó como guía el Código Comercial Uniforme, que establece, bajo la "regla del impostor", que la parte que padece la pérdida es la que está en mejor situación para prevenir una falsificación ejerciendo un cuidado razonable. Tras un juicio de prueba, el tribunal determinó, sobre la base de esos argumentos, que el comprador de los camiones debía aceptar la pérdida. "Las instrucciones [del cable] implicaban una información totalmente diferente de todas y cada una de las instrucciones anteriores", observó el tribunal. "En resumen, [Arrow Truck] debió haber ejercido un cuidado razonable después de percibir mails contradictorios que contenían instrucciones de cable contradictorias, llamando a [Top Quality] para confirmar o bien verificar las instrucciones de cable adecuadas https://p2wngqv555.gitbook.io/unaabogadacentroveinticuatro/lo-que-abogados-penalistas-malaga-nos-dicen-acerca-de-dejarse-representar-por-el-mejor-penalista ya antes de enviar los 570.000 dólares estadounidenses. Como tal, Arrow debería sufrir la pérdida asociada con el fraude."
En un caso de dos mil dieciseis, Bile contra RREMC, un letrado llamado Uduak Ubom fue hackeado en su e-mail. Ubom representó a Amangoua Bile, un cliente que acababa de llegar a un acuerdo de sesenta y tres dólares americanos con su antiguo empleador en una demanda por discriminación en el empleo. El estafador usó el mail de Ubom para mandar instrucciones de cableado actualizadas al bufete de abogados que representaba al empleador. Cuando el bufete siguió esas instrucciones, el delincuente hurtó el dinero. Bile y su antiguo empleador, RREMC, presentaron peticiones para hacer cumplir el acuerdo. El tribunal festejó una audiencia probativa y determinó que Ubom no había observado el cuidado ordinario, lo que contribuyó al hurto y, por consiguiente, Bile sufrió la pérdida. Particularmente, el tribunal determinó que Ubom tenía conocimiento de un intento de fraude días antes que se produjera el traslado, mas no lo avisó al letrado de la oposición. Así, el tribunal adoptó una norma según la que "en el momento en que un letrado tiene conocimiento efectivo de que un tercero malintencionado tiene como objetivo uno de estos casos con pretensión fraudulenta, el letrado debe alertar al abogado de la oposición o debe aceptar las pérdidas a las que su fracaso contribuyó substancialmente".
Un par de años después, en el caso Beau Townsend Ford Lincoln, Inc. contra Don Hinds Ford, Inc., este último concesionario de vehículos acordó adquirir 20 SUV al primero. Al final del trato, un criminal se infiltró en la cuenta de mail de Townsend y envió un mensaje solicitando que Hinds pagara por los vehículos a través de una transferencia bancaria a un banco fuera del estado. Hinds, creyendo que el billete era genuino, inadvertidamente transfirió el dinero al delincuente y recogió los todoterrenos. Cuando Townsend pidió más tarde a Hinds que los devolviera, Hinds se negó, y Townsend demandó por incumplimiento de contrato, entre otras causas de acción.
El tribunal de distrito concedió un juicio sumario a Townsend. Las dos partes fueron negligentes: Townsend "debería haber mantenido un sistema de correo más seguro y haber tomado medidas más veloces al enterarse de que podría haber sido comprometido", observó, mientras que Hinds "debería haber comprobado que un agente real de Beau Townsend estaba pidiendo que enviara dinero por transferencia". Sin embargo, el tribunal sostuvo que Hinds infringió el pacto pues Townsend "no había recibido ningún fondo de Don Hinds[.]"
El Sexto Circuito, en la apelación, dio marcha atrás, encontrando el enfoque del tribunal de distrito demasiado simplista. El Sexto Circuito razonó que el caso había de ser evaluado de dos maneras: bajo la ley de contratos y la ley de agencias. Bajo la ley de contratos, el tribunal de circuito halló que el caso se basaba en el principio de fallo mutuo: "[O]stas partes mantuvieron la creencia equivocada de que habían acordado un procedimiento de pago". Debido a que la rescisión del contrato -un remedio común para un fallo mutuo- no era una alternativa (Hinds no podía devolver los vehículos utilitarios deportivos sin haber pagado el coste de compra de 730.000 dólares estadounidenses), el Sexto Circuito recurrió a otra predisposición de la Restauración (Segunda) de los Contratos, que establece que el tribunal puede asignar el riesgo de pérdida a una parte cuando "es razonable en las circunstancias hacerlo". Ahora, el tribunal analizó tanto el caso Arrow Truck como el de Bile, concluyendo que el tribunal de distrito, en cárcel precautoria, debería determinar "si el hecho de que Beau Townsend o Don Hinds no ejercieran el cuidado ordinario contribuyó al éxito del pirata informático, y entonces tendría que repartir la pérdida conforme con su fallo comparativo".
El Sexto Circuito también aplicó los principios de la agencia para apoyar su opinión de que el peligro de pérdida podría ser repartido entre las 2 partes. Aplicando el Restatement y la ley de Ohio, el tribunal determinó que si "Beau Townsend no había ejercido el cuidado ordinario en el mantenimiento de su servidor de e-mail, permitiendo de este modo al hacker hacerse pasar por [un empleado], entonces Beau Townsend podría ser responsable de la confianza razonable de Don Hinds en los mails del hacker. Además de esto, cualquier responsabilidad potencial se reduciría si Don Hinds tampoco ejerciera un cuidado razonable". Por último, el tribunal de circuito ordenó al tribunal de primera instancia "celebrar un juicio para decidir si y hasta qué punto cada parte es responsable de la pérdida de 730.000 dólares estadounidenses en un caso así". Para ello, el tribunal debe decidir qué parte "estaba en la mejor situación para prevenir el fraude".
En esencia, Beau Townsend defiende la proposición de que en el momento en que un tercero criminal roba dinero de una transacción establecido entre otros 2, un tribunal de distrito debe realizar una investigación de los hechos para determinar cuál de las partes debe aguantar la pérdida: la que haya sido más negligente porque estaba en la mejor posición para prevenir el fraude. Si las dos partes son negligentes, la pérdida puede repartirse entre ellas.
Atención: Peligros futuros
Recobrar el dinero de un ataque de compromiso de correo empresarial es bastante difícil. La única manera de recuperarse del criminal que lanzó el ataque es hacer que las fuerzas del orden se involucren. Una empresa puede ser reacia a hacer eso para empezar, y si el delincuente está operando fuera del país, la restauración es seguramente imposible.
Una compañía que haya sido víctima de un ataque de la BEC podría decidir proceder contra un socio comercial, aduciendo que fue la negligencia de esa parte la que dejó que el ataque tuviese éxito. Presentar una demanda de este género, lógicamente, puede tener algún costo: El pleito acabará por evaluar qué empresa podría haber eludido mejor el plan y cuáles son las mejores prácticas de seguridad interna. Las compañías deben proceder con precaución al presentar una demanda, salvo que estén seguras de que sus protocolos de seguridad resistirán el escrutinio. En caso contrario, podrían ser víctimas por segunda vez.
Santosh Aravind, asociado de Scott, Douglass & McConnico, es un experimentado abogado litigante que representa a personas y empresas en investigaciones penales de cuello blanco, procedimientos de aplicación de la normativa, temas de seguridad cibernética y litigios comerciales complejos. Santosh ha representado a clientes del servicio en procedimientos iniciados por la Comisión de Valores y Bolsa, el Departamento de Justicia de los E.U., la Oficina del Fiscal General de Texas, la Oficina del Fiscal General de Massachusetts y múltiples organismos estatales de Texas.