Hydro-Québec admitió haber pagado inadvertidamente más de 450.000 dólares a alguien que se hizo pasar por uno de sus proveedores.
El periódico montrealense La Presse fue el primero en informar sobre esta información esta mañana.
Caroline Des Rosiers, portavoz de la corporación Crown, confirmó a CBC News en un correo electrónico que el 8 de julio, uno de sus proveedores fue víctima de un fraude en el que se robó información confidencial.
“Utilizando esta información, el estafador modificó los datos bancarios utilizados por Hydro-Québec para el pago de facturas”, explicó Des Rosiers.
“Se abonó entonces un importe de 463.968,19 dólares en una cuenta que no era la del proveedor”, explicó.
“Es importante destacar que sólo se atacaron los sistemas del proveedor. En ningún momento y de ninguna manera se comprometieron los sistemas informáticos de Hydro-Québec”, añadió Des Rosiers.
Dijo que la empresa de servicios públicos había presentado una denuncia ante la policía provincial.
‘El eslabón más débil de la cadena’
“Este es el tipo de estafa más popular entre los proveedores”, dijo el experto en ciberseguridad Claudiu Popa a CBC News en una entrevista.
Popa dijo que los estafadores utilizan un esquema de phishing donde secuestran la cuenta de correo electrónico de un proveedor o usan una dirección de correo electrónico muy similar para solicitar un cambio en la cuenta donde se realizan los pagos.
“El cambio en la cuenta de pago no se nota o se ignora y el pago se realiza, y lamentablemente no se detecta durante semanas”, dijo Popa.
Steve Waterhouse, un consultor de ciberseguridad con sede en Sherbrooke, dijo que los estafadores apuntan deliberadamente a los proveedores, que a menudo tienen protocolos de ciberseguridad menos estrictos.
“Los cibercriminales básicamente se fijan en dónde está el eslabón más débil en toda esa cadena de eventos y transferencias de dinero. Simplemente identifican esa debilidad y la explotan”, dijo Waterhouse.
Los expertos dicen que se necesitan más controles y contrapesos
Popa dijo que incluso si el sistema de Hydro-Québec no hubiera sido violado, la empresa de servicios públicos debería haber podido marcar la transferencia sospechosa.
“Muchas organizaciones dependen únicamente de que la cadena de suministro se gestione por sí sola, y estamos viendo que ese es un enfoque catastrófico para hacer las cosas”, dijo Popa.
Tanto Popa como Waterhouse dijeron que hay cosas que Hydro-Québec y otras grandes organizaciones pueden hacer para prevenir este tipo de fraude.
Waterhouse dijo que esto comienza con el entrenamiento.
“Todos, desde el proveedor hasta quien otorga los contratos, tienen que asegurarse de que todos sean conscientes de que estas situaciones pueden ocurrir y luego capacitarlos y educarlos”, dijo Waterhouse.
Sugirió agregar un paso de aprobación adicional en cualquier pago grande a mitad del proceso, para que las empresas y sus proveedores puedan verificar entre sí que todo es legítimo.
Popa dijo que las organizaciones que dependen de las cadenas de suministro tienen que tener mejores controles y equilibrios.
“Tienen que verificar cualquier cambio que se produzca en los datos de pago de cualquier tipo, ya sea un nombre, un número de teléfono, una dirección de correo electrónico o una cuenta bancaria”, dijo.
Popa también sugirió que las corporaciones realicen simulaciones periódicas de este tipo de fraudes para probar sus medidas de seguridad.
Hydro-Québec dijo que ha iniciado una revisión interna.
“De acuerdo con nuestra práctica de revisar nuestros procedimientos internos de manera continua, se está realizando un análisis para identificar cualquier mejora que se pueda realizar”, dijo Des Rosiers.
