Vuelve el fraude 'Man in the middle': ¿tengo que pagar al verdadero acreedor tras haber sido estafado?

Andrés HerzogNOTICIA08.07.2023 - 08:00h
  • Particulares y empresas están en el punto de mira de los ciberdelincuentes con un nuevo repunte de la estafa 'Man in the middle' o ataque del intermediario.
En este fraude digital, el atacante se gana la confianza de la víctima haciéndose pasar por una persona, una empresa o un servicio de confianza para robarle datos personales y poder suplantar su identidad. El fin es poder realizar acciones en su nombre, como transferencias bancarias o contratos.
El método de estafa man in the middle es uno de los engaños más frecuentes utilizados por ciberdelincuentes para hacerse con el dinero de sus víctimas.
PIXABAY / IAMMRROB
En este fraude digital, el atacante se gana la confianza de la víctima haciéndose pasar por una persona, una empresa o un servicio de confianza para robarle datos personales y poder suplantar su identidad. El fin es poder realizar acciones en su nombre, como transferencias bancarias o contratos.

Una modalidad de estafa que ha crecido exponencialmente estos últimos tiempos es la técnica del llamado ‘man in the middle’, en la cual unos delincuentes consiguen monitorizar e interceptar las comunicaciones de una empresa y envían en su nombre a alguno de sus clientes un mail reclamando algún pago o una factura (previamente manipulada), a fin de que el importe sea abonado en una cuenta distinta a la de su proveedor.

andrés herzog

Andrés Herzog

  • Socio Fourlaw Abogados

Estos fraudes tienen la ventaja (para los delincuentes) de que pueden no ser descubiertos hasta semanas más tarde, cuando el legítimo acreedor de la factura comunica que no le ha llegado el pago correspondiente. Para entonces los fondos han volado, pues nada más recibirlos, el verdadero titular de dicha cuenta procederá a moverlos a otras cuentas, cuyo rastro se pierde en remotos lugares imposibles de rastrear.

Como es lógico, una vez descubierto el fraude se procede a denunciarlo, lo cual tiene cierta utilidad, pues posibilita averiguar de forma rápida el movimiento de los fondos y la persona titular de la cuenta de destino (o de su administrador si es una persona jurídica).

Si se actúa velozmente es posible conseguir que, a través de la Policía o de una orden judicial, se congelen los fondos de la cuenta de destino, o al menos una parte si al delincuente no le ha dado tiempo a robar todo el dinero (puede haber límites diarios que le obliguen a hacerlo mediante reintegros sucesivos y transferencias parciales).

Salvo que lo anterior tenga éxito rara vez esta vía nos conducirá a un resultado positivo, pues el beneficiario de los fondos suele ser una persona insolvente. Así, la vía penal resulta de dudosa utilidad.

En algún supuesto puede conseguirse involucrar o incriminar al banco receptor del dinero (luego transferido), normalmente como cooperador o responsable civil de un posible delito de blanqueo de capitales, si es que se consigue acreditar que incumplieron alguna de las numerosas obligaciones establecidas por la normativa de blanqueo, tales como permitir la apertura de la cuenta bancaria a alguien no debidamente acreditado; no informarse sobre la actividad de la persona o la empresa en cuestión; o no reportar al SEPBLAC de manera puntual los movimientos sospechosos de dinero en las cuentas.

Entonces, ¿tengo que pagar la factura (de nuevo) al verdadero proveedor? Al margen de cómo discurra el procedimiento penal (normalmente de forma lenta e improductiva), el haber hecho un pago a un tercero (el estafador) no nos libera automáticamente de responder frente a nuestro proveedor, del cual habremos, en ocasiones, recibido un bien o servicio, que no hemos pagado. Tenemos un problema.

En estos casos será relevante el peso o fuerza comercial de cada una de las partes. Dependiendo de ello encontraremos mayor o menor comprensión por parte de nuestro proveedor. Al haber sido objeto de un 'hackeo' lo lógico es que asuma que tiene (al menos) una parte de responsabilidad en lo sucedido, pero ello variará mucho en función de las circunstancias concretas del caso, no siendo tampoco descartable que intente derivar la responsabilidad en su cliente, por no haber verificado antes de hacer el pago la corrección de la cuenta bancaria, reprochándole incluso no haber pedido un certificado de titularidad de la cuenta antes a realizar la transferencia.

A falta de una regulación expresa de este tipo de supuestos, nuestros tribunales se han agarrado a la aplicación del artículo 1.162 del Código Civil que establece la regla general de que el pago debe realizarse al acreedor o persona autorizada por este para recibirlo, de forma que el pago realizado a personas distintas no es válido y no libera al deudor

Esta regla tiene dos excepciones: el pago hecho a tercero que sea de utilidad para el acreedor (art. 1163.2) y el realizado a quien sin ser acreedor lo aparente (art. 1.164). En este último caso, nos dicen los tribunales, porque el legislador "protege la confianza en esa apariencia jurídica y la buena fe en el tráfico jurídico ". Pero siempre bajo "una regla de responsabilidad, al hacer depender el efecto liberatorio del pago siempre y cuando haya actuado con la diligencia debida".

Por tanto, no basta la mera creencia o convencimiento subjetivo de que se paga al verdadero acreedor, siendo necesario que tal creencia exista aun habiendo empleado la diligencia realmente exigible de acuerdo con las circunstancias del caso. Y de no concurrir tales presupuestos, el deudor resulta obligado a pagar a su verdadero acreedor.

¿Qué se entiende por diligencia debida? Pues depende. Si analizamos la jurisprudencia veremos que se no se actúa diligentemente cuando, por ejemplo, la cuenta de mail desde la que se envía la factura no es la original o propia de la empresa, cuando la factura no es idéntica, cuando en el mail se incluyen expresiones que no son las habituales o si al hacer la transferencia aparece un beneficiario distinto al correcto

En estos casos el pago realizado al estafador no libera de hacerlo al verdadero acreedor y ello incluso cuando hay también una posible culpa de este por no contar con las medidas de seguridad necesarias que impidieran el 'hackeo' de sus sistemas informáticos o la interceptación de sus comunicaciones.

Por otro lado, dicen nuestros tribunales que "no se puede exigir a los empleados de una empresa un grado de diligencia o sospecha propia de un profesional telemático o de los expertos policiales en ciberdelitos", por lo que si no hay forma de detectar el engaño el pago sí tiene efectos liberatorios.

En suma, ha de atenderse en cada caso a las circunstancias concurrentes y solo en el caso de que la empresa engañada no tuviera motivo alguno para sospechar tendrá alguna opción de que nuestros tribunales entiendan que el pago realizado al estafador le exime de volver a hacerlo a su legítimo acreedor. Como más vale prevenir que lamentar, será siempre recomendable implementar unos procesos y controles de compliance (plan de prevención de delitos) que eviten estas desagradables situaciones

Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.

Mostrar comentarios

Códigos Descuento

© 20 Minutos Editora, S.L.

Queda prohibida toda reproducción sin permiso escrito de la empresa a los efectos del artículo 32.1, párrafo segundo, de la Ley de Propiedad Intelectual. Asimismo, a los efectos establecidos en el artículo 33.1 de Ley de Propiedad Intelectual, la empresa hace constar la correspondiente reserva de derechos, por sí y por medio de sus redactores o autores.