La Autopista del Atlántico denuncia un fraude cibernético millonario
Un juzgado de Madrid investiga la denuncia presentada por Itínere por una estafa a través de correos clonados de directivos de Audasa
Audasa ha sido víctima del conocido como «fraude del CEO». El Juzgado de Instrucción número 36 de Madrid sigue las diligencias de investigación (1556/18) sobre un presunto fraude cibernético sufrido por la concesionaria de la Autopista del Atlántico después de la denuncia presentada por el equipo jurídico de Itínere, que es su accionista mayoritario. El fraude denunciado, que de haberse consumado superaría el millón y medio de euros, se realizó clonando las cuentas de correo electrónico de los directivos del grupo.
El juzgado de Madrid decidió incoar diligencias previas tras el atestado de la Unidad de Investigación Tecnológica de la Policía Judicial como consecuencia de la denuncia presentada por un apoderado de Itinere Infraestructuras por la comisión de un delito continuado de estafa utilizando el método conocido con la denominación Spear Phising/Busines e Mail Compromise o «fraude del CEO».
Esta operativa, según las propias diligencias a las que ha tenido acceso Economía Digital, se utiliza por los estafadores tecnológicos para suplantar las cuentas de correo de la empresa, directivo o personal de administración usando direcciones de correo electrónico que puedan inducir al equívoco alterando la nomenclatura o el orden de letras de la cuenta de correo original.
Direcciones IP en el extranjero
Los hechos denunciados datan de 2018, pero no es hasta el pasado mes de junio cuando la Sala de lo Penal del Tribunal Supremo decide resolver una cuestión de competencias planteada por dicho juzgado de Madrid y otro de Bilbao, donde está la sede de Itínere, que investigaba los mismos hechos.
El auto del Supremo resolviendo el conflicto de competencias detalla el fraude denunciado por Itínere, que golpea de lleno a Audasa, la gestora de la AP-9. Itínere denunció en el juzgado hasta tres operaciones fraudulentas relacionadas con el mismo caso.
Itínere, la matriz de Audasa, tiene su domicilio social en Bilbao, pero los correos electrónicos clonados corresponden todos ellos a directivos o empleados que trabajan en la sede que la entidad posee en Madrid, y la investigación policial ha revelado, según recoge el auto, que las direcciones IP y los dominios utilizados para el clonado están registrados en países extranjeros.
Así es el «fraude del CEO»
La estafa conocida como Spear Phishing/Business Email Compromise, que es la denunciada por Itínere y Audasa, tiene como objetivo específico a los miembros de departamentos de administración, CEO’s, y clientes de grandes empresas con proyección global, según explica el Ministerio del Interior. A través de estas prácticas se consigue acceder a las comunicaciones mantenidas mediante correos electrónicos entre las empresas denunciantes con sus entidades bancarias y sus proveedores o clientes, para luego lucrarse económicamente.
Interior explica las estafas como la denunciada en Audasa, que comienzan con la suplantación de identidades de la empresa proveedora o sus clientes o empleados mediante correos electrónicos que inducen a engaño para que cuando efectúen el pago de los servicios contratados, lo realicen en otra cuenta bancaria distinta de la habitual.
«Una vez que el dinero se encuentra en la cuenta bancaria usada para perpetrar el delito, es transferido a otras cuentas también controladas por los estafadores, para conseguir, de este modo, dificultar su trazabilidad», explica Interior. En este tipo de fraudes se suele actuar con gran rapidez en el movimiento de fondos para dificultar el rastreo del dinero estafado y evitar el bloqueo de esas cuentas.