689 836 691 info@quicklopd.es

Caso real de ciberdelincuencia “man in the middle” en correo electrónico

por | 29 Jul, 2025 | Empresa, Fraude en internet

Una pyme sufrió un fraude mediante la técnica de Man in the Middle (MitM) en el contexto de una comunicación electrónica con uno de sus clientes. El ataque comenzó tras la apertura, aparentemente inofensiva, de un correo sospechoso. Este acto, no intencionado, sirvió como vector de entrada para un software malicioso (malware) que se instaló silenciosamente en uno de los equipos, permitiendo al ciberdelincuente monitorizar el tráfico de correo.

El malware capturaba conversaciones cuando se detectaban ciertos términos clave como “factura”, “pago” o “transferencia”.

En el momento en que el proveedor envió al cliente una solicitud de abono de una factura, el atacante interceptó ese mensaje y modificó el número de cuenta bancaria incluido en el texto. El cliente, creyendo estar abonando al proveedor, realizó el pago al número IBAN del atacante.

Tras analizar la trazabilidad de los hechos, se identificó que:

  • El emisor de la factura no había sufrido alteraciones en otros envíos.
  • El cliente fue el único afectado, lo que indica que el sistema comprometido era el del receptor (cliente).
  • El correo original no contenía errores ortográficos ni indicadores evidentes de suplantación, lo que refuerza que la alteración se produjo después de su emisión.

Medidas correctivas inmediatas

  1. Auditoría forense del sistema receptor: se recomendó realizar un análisis exhaustivo de los dispositivos y servidores del cliente, a fin de localizar el punto de entrada del malware, así como cualquier rastro de exfiltración de datos o puertas traseras.
  2. Denuncia formal ante la Unidad de Delitos Telemáticos de la Guardia Civil, con especial atención a la conservación de evidencias electrónicas (headers de correos, logs de acceso, IPs).

Recomendaciones jurídicas y técnicas posteriores

  • Evaluación de impacto en protección de datos (EIPD): En aplicación del art. 35 del RGPD, el responsable del tratamiento deberá valorar si el incidente ha supuesto una violación de datos personales. Si así fuera, podría ser obligatorio notificar a la AEPD y a los afectados (arts. 33 y 34 del RGPD).
  • Verificación proactiva de datos bancarios: Reforzar el procedimiento de validación de cuentas bancarias a través de una llamada telefónica o una doble confirmación previa al pago.
  • Evitar correos gratuitos poco seguros: se desaconseja el uso de cuentas como @gmail.com o @hotmail.com en contextos empresariales, por su menor robustez ante ataques dirigidos.
  • Uso de cifrado en el envío de facturas: como medida preventiva, se recomienda el cifrado de documentos y el uso de sistemas de firma electrónica para asegurar la integridad del mensaje.
  • Formación al personal en ciberseguridad, especialmente en el reconocimiento de correos de phishing, spear phishing y otras formas de ingeniería social.
  • Implantación de políticas de seguridad y protocolos de respuesta ante incidentes, conforme al Esquema Nacional de Seguridad y al Código de Derecho de la Ciberseguridad.

 

Quick LOPD | RGPD
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.