Globalización Y Abogados Penalistas, Abogados Experimentados Le Indican Sobre Las Nuevas Reglas Del

El placer de los estafadores

Los ciberdelincuentes raras veces descansan, siempre buscando vulnerabilidades para explotar, y ahora están apuntando poco a poco más a las transacciones comerciales privadas en lo que se conoce como un ataque de compromiso de correo empresarial (BEC). En tal violación, un ciberdelincuente se infiltra en el sistema de e mail de una compañía y se hace pasar por el propietario de una importante cuenta de e mail de la compañía. Fingiendo ser un ejecutivo concreto, el ladrón envía un e-mail a otra empresa con la que el primero tiene una relación continua, mandando instrucciones de envío de dinero legítimamente adeudado a una cuenta bancaria establecida y controlada por los autores del plan.

El destinatario del correo electrónico, creyendo que el mensaje es genuino, transfiere el pago a la cuenta del delincuente. Para cuando los 2 negocios se percatan de que han sido engañados, es ya demasiado tarde, y el dinero que el segundo envió al primero ya ha desaparecido.

¿Qué ocurre después de algo como esto? ¿Puede una empresa victimizada recuperar los fondos robados? ¿Puede aguardar recuperarse del propio delincuente? Si no se puede encontrar al autor, ¿puede la empresa defraudada recobrar el dinero del que ha pirateado sus sistemas?

El hackeo de empresas es un buen negocio

Conforme el Centro de Denuncias de Delitos en Internet del FBI (conocido como "IC3"), los ciberataques del BEC contra empresas estadounidenses han ocasionado más de 8.200 millones de dólares estadounidenses en pérdidas desde 2013, con mil setecientos millones de dólares adicionales en pérdidas ajustadas sólo en 2019, las mayores pérdidas de bolsillo estimadas de cualquier clase de delito cibernético en ese periodo. El IC3 asimismo estima que las pérdidas mundiales han superado los 26.000 millones de dólares estadounidenses en los últimos 3 años. Dado que muchos de estos delitos no se denuncian, la cantidad real es probablemente considerablemente más alta.

Los ataques del BEC se producen cada vez más en las transacciones comerciales privadas porque los delincuentes, simplemente, ven la vulnerabilidad. Las compañías participan en intercambios regulares en los que el comprador compra una cantidad determinada de recursos a un vendedor y, con el tiempo, los ejecutivos establecen relaciones con sus homólogos. La naturaleza de este intercambio amistoso normalmente genera un grado de confianza del que los ciberdelincuentes se aprovechan abogados penalistas con experiencia con entusiasmo.

En un escenario típico, un ataque BEC se produce con el criminal apuntando a un ejecutivo de una compañía determinada. Digamos que la empresa A provee piezas de automóviles a la compañía B en un horario establecido, para lo que esta última le transfiere el pago. Sabiendo esto, el delincuente se infiltrará en el sistema de correo de la Compañía A, a menudo a través de un esquema de "phishing", enviando un correo falso o un link web. Una vez que se hace clic en él, la cuenta objetivo se ve comprometida. El criminal puede entonces monitorear los mensajes y la actividad de la cuenta, familiarizándose con la manera en que el ejecutivo de la compañía A usa el correo y de qué manera exactamente se generan las transacciones con la compañía B. Al detectar una buena ocasión, el criminal manda un mensaje falso o bien comprometido solicitando la transferencia electrónica.

En este escenario, la empresa A se ve perjudicada porque ha hecho la entrega frecuente a la compañía B mas no ha recibido el pago. La compañía B también se ve perjudicada por el hecho de que ha emitido el pago destinado a la empresa A mas ahora en las arcas del criminal. Generalmente, la compañía A exigirá un pago legítimo a la compañía B, o le exigirá que devuelva la mercadería. ¿A dónde ir desde acá?

Recobrar los activos de un ataque cibernético del delincuente

Tras un ataque de la BEC, posiblemente las compañías víctimas recuperen los activos perdidos. El IC3 del FBI informó que en dos mil diecinueve, su Equipo de Activos de Restauración fue capaz de recuperar aproximadamente el 79 por ciento de las pérdidas potenciales por las reclamaciones que fueron remitidas al Equipo de Activos de Recuperación, por un total de 304,9 millones de dólares americanos. Sin embargo, para tener alguna esperanza de obtener la recuperación del delincuente, una compañía víctima debe denunciar el fraude al FBI o bien a otras fuerzas del orden, y hay múltiples razones por las que una empresa podría ser reluctante a hacerlo. Conforme el Departamento de Justicia, desde dos mil dieciseis, sólo el quince por ciento de las víctimas de fraude empresarial en todo el país denuncian el delito.

¿Por qué razón las empresas son tan precavidas? Primeramente, una compañía puede considerar la prosecución de un ciberdelincuente como una pérdida de tiempo y de recursos, especialmente cuando se determina que el hacker está operando en el extranjero. En verdad, debido a que tantos ciberdelincuentes ejercitan su actividad fuera de los Estados Unidos, de manera frecuente es extremadamente difícil hacerles rendir cuentas.

En segundo lugar, la detención del autor puede no ser la mayor prioridad de la empresa. En cambio, se centrará en apuntalar los controles internos https://l4uzurc068.doodlekit.com/blog/entry/12706758/una-tarde-de-conversacin-con-abogados-penalistas-malaga-sobre-lo-que-sufren-los-nios-en-la-separacin-de-sus-padres para garantizar que no sea de nuevo víctima, así como en cumplir sus obligaciones legales de avisar a los reguladores y a las partes perjudicadas. Podría preocuparle la publicidad negativa o el daño a su reputación. Probablemente estas preocupaciones sean exageradas, pero podrían llevar a una compañía a tratar de resolver las controversias conexas con sus asociados de forma informal o en los tribunales civiles.

Restauración de activos del asociado comercial

Cuando una empresa no puede recobrar el dinero robado por un ciberdelincuente, puede decidir buscar la recuperación del asociado comercial. Cuando tales disputas no pueden ser resueltas informalmente, conducen a litigios, centrándose exactamente en qué parte fue más negligente en la habilitación del esquema: ¿Fue la empresa A, cuyo sistema de e-mail fue en un inicio pirateado, o bien la compañía B, que mandó el pago a una cuenta fraudulenta?

En los últimos años se han visto un puñado de resoluciones judiciales que implican a víctimas del esquema BEC que se han demandado entre sí. ¿Qué compañía debería aceptar el riesgo de pérdida? Hasta el momento los tribunales han adoptado un enfoque afín para estos casos.

El primer caso relevante fue una disputa de dos mil quince, Arrow Truck Sales contra Top Quality Truck & Equipment, Inc., en la que una empresa, Top Quality, negoció la venta de un conjunto de camiones a la otra por quinientos setenta dólares americanos. Tanto el sistema de e mail del vendedor como el del comprador fueron pirateados por estafadores externos que mandaron instrucciones "actualizadas" de cableado al comprador, Arrow Truck, que las creyó reales; los delincuentes se salieron con la suya por el coste total de adquiere de 570.000 dólares.

El tribunal de distrito apuntó que no había jurisprudencia aplicable sobre la cuestión de qué parte aguantaba la pérdida derivada del fraude de un tercero que provocaba el incumplimiento del contrato. En su lugar, tomó como guía el Código Comercial Uniforme, que establece, bajo la "regla del farsante", que la parte que padece la pérdida es la que está en mejor situación para prevenir una falsificación ejerciendo un cuidado razonable. Tras un juicio de prueba, el tribunal determinó, sobre la base de esos argumentos, que el comprador de los camiones debía asumir la pérdida. "Las instrucciones [del cable] implicaban una información completamente diferente de todas las instrucciones anteriores", observó el tribunal. "En resumen, [Arrow Truck] debió haber ejercido un cuidado razonable después de percibir correos contradictorios que contenían instrucciones de cable contradictorias, llamando a [Top Quality] para confirmar o bien contrastar las instrucciones de cable correctas ya antes de enviar los 570.000 dólares. Como tal, Arrow debería padecer la pérdida asociada con el fraude."

En un caso de dos mil dieciseis, Bile contra RREMC, un letrado llamado Uduak Ubom fue hackeado en su correo. Ubom representó a Amangoua Bile, un cliente que terminaba de llegar a un pacto de sesenta y tres dólares con su viejo empleador en una demanda por discriminación en el empleo. El estafador empleó el correo electrónico de Ubom para enviar instrucciones de cableado actualizadas al bufete que representaba al empleador. Cuando el bufete siguió esas instrucciones, el criminal robó el dinero. Bile y su antiguo empleador, RREMC, presentaron mociones para hacer cumplir el acuerdo. El tribunal celebró una audiencia