El Ayuntamiento de Castroverde de Campos ha sido víctima de un ciberataque del tipo BEC (Business Email Compromise), una técnica que consiste en manipular comunicaciones legítimas para desviar pagos a cuentas controladas por actores maliciosos. El incidente resultó en una pérdida económica de aproximadamente 7.000 euros.

🧠 ¿Qué es un ataque BEC?

El ataque de tipo BEC (Compromiso de Correo Electrónico Empresarial) consiste en interceptar, suplantar o manipular correos electrónicos legítimos con fines fraudulentos. En este caso, los atacantes alteraron una factura enviada por correo electrónico y, mediante técnicas de spoofing o acceso ilícito, consiguieron que el Ayuntamiento transfiriera el importe a una cuenta bancaria controlada por los criminales.

Este vector de ataque no requiere malware avanzado, sino ingeniería social y acceso o imitación convincente del canal de comunicación, lo cual lo convierte en una amenaza silenciosa pero efectiva, sobre todo en organismos públicos o entidades con procedimientos financieros rutinarios.

🧾 Detalles del incidente

• Entidad afectada: Ayuntamiento de Castroverde de Campos (Zamora)
• Tipo de ataque: Business Email Compromise (BEC)
• Impacto económico: Aproximadamente 7.000 euros
• Estado: Denunciado ante los tribunales, en fase de investigación judicial
• Método: Alteración de datos bancarios en una factura enviada por correo electrónico

🔍 Implicaciones y debilidades

Este tipo de fraude pone en evidencia la falta de mecanismos de verificación secundaria en procesos de pago, como:

• Confirmación de cuentas bancarias por otro canal (llamada directa o correo interno).
• Verificación digital mediante firma electrónica o certificados.
• Uso de dominios verificados (DMARC, SPF, DKIM) para reducir la suplantación de correos.

La ausencia de estas prácticas facilita que los atacantes se infiltren en las comunicaciones sin ser detectados.

🔐 Medidas de mitigación recomendadas

Para evitar incidentes similares en entidades públicas o empresas, se recomienda:

1. Implementar doble verificación para cambios de cuentas bancarias en proveedores.
2. Formar al personal administrativo en detección de intentos de suplantación.
3. Usar soluciones de seguridad de correo electrónico con filtrado avanzado y detección de spoofing.
4. Aplicar políticas de seguridad de correo (SPF, DKIM y DMARC) en todos los dominios utilizados.
5. Auditar y registrar todas las transferencias y validaciones de cuentas destino.

⚖️ En manos de la justicia

El Ayuntamiento ya ha puesto el incidente en conocimiento de los tribunales, quienes investigan la trazabilidad del ataque y la posible localización de los responsables. Sin embargo, recuperar el dinero sustraído puede ser complejo si los fondos fueron movidos rápidamente entre cuentas internacionales o criptográficas.