Opinió

Antoni Pérez De-Gregorio i Capella (*)

L’estafa informàtica del «Man in the middle» (i II)

Darrerament, el Diari de Girona va publicar la primera part d’aquest article on parlàvem del vertiginós augment de les estafes informàtiques i concretament, de l’estafa informàtica del Man in the middle.

L’estafa del Man in the middle (home al mig), consisteix a interceptar la comunicació entre dos dispositius adquirint la capacitat de suplantar la identitat d’una de les parts i modificar l’identificador únic de les factures intercanviades per desviar el cobrament de l’import a un altre compte bancari diferent del proveïdor.

Cada dia es fa més difícil detectar aquests delictes i per aquest motiu, moltes persones són estafades tot i haver actuat amb la diligència deguda. Pel fet que aquesta estafa és una de les més sofertes per petites i mitjanes empreses, la primera part de l’article va tenir molta repercussió. Així i tot, sorprèn que encara hi ha moltes empreses que no coneixen aquest tipus d’estafa, mentre que altres que van comentar l’article deien que ja havien patit aquesta estafa feia uns dos anys i la coneixien prou bé.

Una de les primeres recomanacions que hem de tenir en compte per prevenir la cibercriminalitat en la nostra empresa i també, és clar, a la nostra vida privada, és estar alerta davant la possibilitat de qualsevol atac informàtic. Una de les opcions més efectives a l’hora de realitzar una transferència amb un tercer és corroborar amb el responsable o titular del compte que el número d’IBAN i la resta de dades són les correctes, sobretot en aquells casos els quals el tercer és un proveïdor recurrent, hauríem de comprovar que el compte sigui sempre el mateix i en cas de detectar qualsevol canvi en una nova factura, contrastar la informació per una altra via que no sigui la del correu electrònic.

En un primer moment, un dels símptomes que podia aixecar la veu d’alerta, és que el canvi de compte corrent fos a una entitat bancària poc corrent, o almenys, de les que no solen treballar tant amb empreses. Però ara ja no. Almenys en els últims casos que hem conegut eren entitats bancàries en les quals fins i tot l’empresa hi havia treballat o treballava.

Aquesta operació de corroboració (una simple trucada de telèfon) és realment senzilla, però en funció del volum de factures de l’empresa, aquest mecanisme pot suposar un cost important de gestió. Per aquest motiu, exposarem a continuació possibles mecanismes de prevenció en l’estafa del Man in the Middle.

Els dos principis bàsics que han de regir tot mecanisme intern destinat a la protecció de la informació digital són la confidencialitat i la integritat. Per garantir la confidencialitat de les dades és necessari incorporar mecanismes d’accés perquè cada treballador o usuari accedeixi només a la informació estrictament necessària. Així mateix, aquesta informació ha d’estar protegida i lliure de modificacions per garantir la integritat de totes les dades.

Per assegurar-nos que tota informació que rebem i enviem és correcta i confidencial, haurem d’incorporar protocols interns amb mesures organitzatives i sobretot, amb mesures tècniques.

Les mesures organitzatives estan exclusivament destinades a incorporar sistemes i procediments interns de classificació de la informació amb la finalitat d’evitar la seva contaminació. Ara bé, les mesures tècniques consisteixen a establir controls de la informació, les quals poden estar destinades exclusivament a tot el contingut extern que pot arribar a rebre una empresa.

Establir un protocol intern mitjançant el qual no es permeti realitzar transferències a un número de compte diferent del qual consta oficialment en les dades de l’empresa, llevat que la transacció sigui autoritzada per un responsable, podria ser un dels mecanismes de prevenció més eficaços en l’estafa del Man in the Middle.

Tanmateix, no podem obviar la necessitat d’establir noves mesures de reforç en els sistemes de pagament bancaris per a disminuir tots aquests riscos en les transferències. La solució podria trobar-se en establir una autenticació reforçada bilateral la qual consisteixi, per una banda, a verificar que la persona que efectua l’operació és realment el titular del compte bancari, i d’altra banda, sense incomplir la normativa de protecció de dades, impedir l’operació quan el nom del beneficiari no coincideixi amb el titular del compte destinatari.

Avui en dia la ciberseguretat total no existeix, no hi ha cap mecanisme antifrau que sigui cent per cent efectiu, ja que les tècniques delictives són moltes i cada cop més complexes. Això no obstant, si volem disminuir la possibilitat de ser víctimes de l’estafa del Man in the Middle, la implantació d’un Pla intern de mesures antifrau és imprescindible, i pot formar part dels protocols complementaris a les polítiques de Compliance de les empreses.

(*) En col·laboració amb Dafne Burgos

Subscriu-te per seguir llegint