Uno podría pensar que las empresas tecnológicas que presumen de sistemas de detección de fraude en sus servicios estarían exentas de riesgos en sus propios negocios, pero un ciudadano lituano demostró que no es así.
Evaldas Rimasauskas fue recientemente detenido y acusado de fraude financiero, robo de identidad y blanqueo de capitales. Todo ello tras haber robado 99 millones de dólares de Facebook y otros 23 millones de dólares de Google entre 2013 y 2015. Al final le atraparon,
Facturas y correos electrónicos falsificados, claves del fraude
Rimasauskas registró la marca Quanta Computer Inc. en Lituania, copiando el nombre del fabricante hardware taiwanés. A partir de ese momento comenzó a enviar facturas a Google y Facebook por productos que no habían comprado y que él tampoco había proporcionado.
Aún así las empresas pagaron esas facturas sin cuestionarse nada, quizás porque todo parecía perfectamente legítimo. Como indican en el DoJ, las facturas falsificadas incluían contratos falsificados y cartas que simulaban estar firmadas por directivos de las empresas víctimas del engaño. La inclusión de los sellos falsificados de estas empresas lograba el efecto deseado, y las víctimas acababan enviando el dinero sin realizar comprobaciones adicionales.
Esos pagos luego eran distribuidos en cuentas bancarias de seis países distintos: Chipre, Lituania, Hungría, Eslovaquia, y Letonia. La sentencia no menciona específicamente a Google o Facebook, pero una orden judicial de 2017 ya identificaba a ambas como las víctimas de este fraude.
Cuidado con los fraudes BEC
La técnica utilizada por Rimasauskas era ya conocida en el ámbito de la ciberseguridad. Se trataba del fraude llamado "Business Email Compromise" o BEC, en el que los responsables del engaño piden dinero usando correos dirigidos a empresas que trabajan con proveedores extranjeros y que hacen transferencias monetarias a menudo.
En junio de 2016 el FBI ya avisaba del auge de este tipo de fraudes con los que los criminales logran acceder a cuentas de correo electrónico legítimas con ingenería social o técnicas de intrusión informática y a partir de ahí toman el control de ellas para lograr enviar esos correos fraudulentos.
En ese documento el FBI ofrecía algunas recomendaciones para evitar este tipo de fraudes. Por ejemplo, evitar el uso de cuentas de correo webmail gratuitas, cuidar lo que se publica en redes sociales (especialmente descripciones de puestos de trabajo o información jerárquica de la empresa) e implementar procesos de verificación en dos pasos.
Hasta 30 años de cárcel
Facebook y Google han acabado reconociendo que ambas fueron víctimas del fraude. Los responsables de Facebook indicaron que han recuperado "todos los fondos poco después del incidente" y que han estado colaborando con las fuerzas de seguridad en su investigación.
Google también indicó que "hemos detectado este fraude y alertado enseguida a las autoridades. Hemos recuperado los fondos y estamos contentos de haber resuelto este problema".
No queda claro cómo ambas han podido recuperar todos los fondos cuando Rimasauskas ha accedido a devolver 50 millones de dólares, que parece que es lo que quedaba en las cuentas: nada se sabe de los 72 millones de dólares restantes. El próximo 29 de julio Rimasauskas se enfrentará a una sentencia que podría condenarle a 30 años de cárcel.