- Desde el despacho de abogados de A Coruña especializado en derecho digital, Pintos & Salgado, divulgan esta semana uno de los ejemplos de ciberdelincuencia más comunes que afectan tanto a empresas como instituciones públicas, de cara a fomentar una mayor prevención en nuestro día a día.
- Desde la perspectiva de la abogada Teresa Regueiro, un ataque de man in the middle 
no solo "supone pérdidas económicas significativas, sino también daños reputacionales y una vulneración de información confidencial muy clara".
Con la tecnología ya en el centro de nuestra rutina, conocer las principales prácticas de los ciberdelincuentes cobra más relevancia que nunca para que tanto ciudadanos como organizaciones puedan protegerse ante posibles estafas. Y dentro de ese proceso de divulgación se adentra Teresa Regueiro, abogada especialista en protección de datos en Pintos & Salgado, profundizando en uno de los conceptos de mayor vigencia dentro del ecosistema digital: el Man in the Middle (MitM) o Ataque del intermediario.
"Se trata de uno de los ciberataques más comunes, muy recurrente en los casos que recibimos en el despacho", arranca Regueiro, "y en donde los hackers logran suplantar identidades de diferentes proveedores de servicios y sustraer fondos económicos". En la práctica, el ciberdelincuente logra interceptar la comunicación entre dos partes y acceder a información sensible para alterarla y salir beneficiado.
"Pongamos un ejemplo claro de Man in the middle: una empresa recibe una factura de un proveedor usual vía e-mail con un número de cuenta para hacer la transferencia por sus servicios. El hacker interceptaría esa comunicación, cambiaría el número bancario y la empresa terminaría enviando el dinero a la cuenta del ciberdelincuente", salienta Regueiro. El tiempo que tarda en detectarse el fraude es una de las claves: la víctima de la estafa solo se percata del error cuando el proveedor reclama el pago que no se ha realizado.
Cerca de un millón de euros sustraídos al Ayuntamiento de Sevilla
Esta práctica afecta por igual a empresas privadas, usuarios y administraciones, y ya en 2021 se detectó uno de los casos con mayor impacto económico, poniendo sobre la mesa la importancia extremar la cautela.
En el caso de Sevilla, los ciberdelincuentes suplantaron la identidad de la empresa que gestionaba la iluminación navideña del Ayuntamiento, interceptando las comunicaciones entre ésta y la Concejalía de Urbanismo y consiguiendo que la institución pública ingresase casi un millón de euros a una cuenta controlada por los hackers.
"Debemos entender que las consecuencias de un ataque del intermediario son múltiples: por supuesto, hay pérdidas económicas, pero también un enorme daño reputacional, porque se pierde la confianza en los protocolos de seguridad de la organización que ha sido hackeada. Y luego está toda la información sensible y confidencial a la que pueden acceder los ciberdelincuentes, vulnerando la normativa de protección de datos", recuerdan desde Pintos & Salgado.
Algunas medidas después de sufrir un ataque de Man in the Middle
Ante cualquier sospecha de ser víctima de una estafa así, Teresa Regueiro expone cuatro medidas a poner en marcha:
- Desconectar el dispositivo tecnológico de la red de Internet y cambiar las contraseñas.
- Denunciar el hecho a las Fuerzas y Cuerpos de Seguridad del Estado.
- Contactar con el banco de destino de la transferencia para evitar que el dinero llegue al ciberdelincuente.
- Y si el hacker ya tiene el dinero en posesión, existe la posibilidad de reclamar al banco. Si se realiza una transferencia y en ella se indica el nombre del beneficiario, aunque el IBAN haya sido manipulado, el banco de destino debe comprobar siempre que dicho IBAN se corresponde con el beneficiario de la transferencia.
Pero también es fundamental no solo la actuación después de la estafa, sino también el proceso de prevención. "Ser conscientes de que existen estas prácticas ilegales y de la importancia de revisar bien qué estamos haciendo en nuestra navegación por Internet son acciones claves para prevenir un ataque así", insiste la abogada especialista en protección de datos.
Por eso, si accedemos a sitios web inesperados que solicitan información sensible, o vemos conexiones que se presentan como poco seguras o sitios web no confiables, tanto usuarios como organizaciones deben extremar la precaución. "De igual manera que evoluciona la tecnología digital, también lo deben hacer nuestros comportamientos en Internet para garantizar la seguridad de nuestra identidad y datos", concluyen desde Pintos y Salgado.
