La Policía Nacional ha detectado en Navarra un aumento de denuncias relacionadas con la estafa conocida como Man in the Middle —“hombre en el medio”—, un fraude que se intensifica especialmente en estas semanas previas al cobro de la paga extra de Navidad, cuando las nóminas son más elevadas y resultan más atractivas para los delincuentes.
El método es sofisticado pero efectivo: el atacante intercepta la comunicación entre dos partes, ya sea entre empresas o entre la empresa y sus trabajadores, y suplanta la identidad de uno de ellos para modificar datos clave sin levantar sospechas. Ni el remitente ni el destinatario reales son conscientes de que un tercero se ha colado en la conversación. Aunque afecta a todo tipo de organizaciones, es especialmente frecuente en pequeñas y medianas empresas, así como en entidades municipales con estructuras menos protegidas.
En uno de los casos investigados en Pamplona, el estafador se hizo pasar por una empleada y comunicó al departamento de recursos humanos un supuesto cambio de número de cuenta bancaria para recibir su sueldo. El mensaje incluía nombre, apellidos, cargo y firma corporativa, todo ello información obtenida de internet para dotar de credibilidad al engaño. La empresa tramitó el cambio sin sospechas y solo descubrió la estafa cuando la trabajadora real denunció no haber recibido la transferencia.
Tras ese primer éxito, los delincuentes trataron de aprovecharse de la situación. Se hicieron pasar por un antiguo director para solicitar datos de un pago pendiente a otra empresa y, en otro correo, suplantaron al gerente actual para consultar el estado de las cuentas y preguntar si podían transferir más de 45.000 euros. En ambos intentos, aunque la dirección de correo no era la habitual, sí coincidían el nombre visible del remitente y la firma de los mensajes.
En otra denuncia reciente, la trama fue similar, pero la empresa logró evitar el fraude. Tras recibir un correo solicitando un cambio de cuenta, recursos humanos optó por confirmar la petición mediante una llamada telefónica a la empleada utilizando su contacto habitual. La trabajadora negó haber solicitado ningún cambio y el ataque quedó en intento.
Recomendaciones para evitar caer en la trampa
La Policía Nacional insiste en que todos podemos ser víctimas de este tipo de fraudes, alimentados por datos personales y corporativos que los delincuentes obtienen fácilmente en internet. Para minimizar riesgos, recomienda:
-
Reforzar la ciberseguridad: instalar antivirus, actualizar software y proteger la red wifi con contraseñas robustas.
-
Extremar la alerta en departamentos sensibles como contabilidad y recursos humanos.
-
Verificar siempre por teléfono o por otros canales internos cualquier solicitud de cambio en cuentas bancarias o instrucciones de pago.
-
Desconfiar de correos sospechosos, con errores ortográficos, dominios extraños o enlaces a facturas o archivos no solicitados.
-
Denunciar de inmediato si se detecta un pago fraudulento, aportando todas las pruebas disponibles.
Con la llegada de la campaña navideña, la Policía recuerda que la prevención y la doble verificación son las mejores herramientas para evitar que la paga extra acabe en manos de los ciberdelincuentes.
