Evaldas Rimasauskas, un hombre lituano de 50 años, llevó a cabo una de las estafas más audaces de la última década, defraudando a los gigantes tecnológicos Google y Facebook por un total de 122 millones de dólares. Entre 2013 y 2015, Rimasauskas logró engañar a ambas compañías simplemente enviándoles facturas falsas, que fueron pagadas sin mayores cuestionamientos.
Este elaborado fraude, que se aprovechó de la confianza y la complejidad operativa de las empresas tecnológicas, fue posible gracias a un “sofisticado” esquema de engaño que involucraba correos electrónicos, documentos y una empresa ficticia.
El plan Evaldas Rimasauskas: cómo funcionó el fraude
Evaldas Rimasauskas no actuó solo. Trabajando con cómplices anónimos, ideó un plan para suplantar a Quanta Computer, un fabricante de hardware con sede en Taiwán que mantiene relaciones comerciales legítimas con Google y Facebook. Con este objetivo, creó una empresa ficticia en Letonia con el mismo nombre que Quanta Computer y utilizó una variedad de documentos falsificados, incluyendo facturas, contratos, cartas y sellos corporativos.
Estos documentos replicaban con precisión los de la verdadera Quanta, lo que generó una confusión suficiente para engañar a los departamentos financieros de ambas empresas tecnológicas.
El fraude se ejecutó mediante el envío de facturas a Google y Facebook, solicitando el pago por servicios que supuestamente había proporcionado la «empresa» de Evaldas Rimasauskas. Estas facturas se enviaban desde cuentas de correo electrónico que imitaban a las de Quanta Computer, lo que hizo que parecieran genuinas. Google y Facebook, confiando en la autenticidad de las comunicaciones y los documentos, procedieron a transferir los fondos solicitados.
Lavado de dinero y la captura de Rimasauskas
Una vez que Google y Facebook pagaron las facturas fraudulentas, los fondos fueron transferidos a cuentas bancarias controladas por Evaldas Rimasauskas. Para ocultar el origen del dinero, Rimasauskas blanqueó los fondos a través de una compleja red de transferencias internacionales. Las cuentas bancarias involucradas estaban ubicadas en múltiples países, incluyendo Letonia, Chipre, Eslovaquia, Lituania, Hungría y Hong Kong. Esta dispersión geográfica complicó el seguimiento del dinero y dificultó la identificación de los culpables.
Sin embargo, el esquema de Rimasauskas no pasó desapercibido para siempre. En 2017, fue extraditado a Nueva York, donde enfrentó cargos de fraude electrónico y lavado de dinero. En 2019, se declaró culpable y aceptó pagar 49,7 millones de dólares en restitución. Rimasauskas podría enfrentar hasta 30 años de prisión, con la sentencia programada para el 24 de julio.
La respuesta de Google y Facebook
Aunque la acusación no identificó explícitamente a Google y Facebook, ambas compañías confirmaron posteriormente que eran las «Víctima 1» y «Víctima 2» del fraude, respectivamente. Google y Facebook afirmaron haber recuperado la mayor parte, si no todo, del dinero perdido, aunque no revelaron la cantidad exacta recuperada. Según informes, Google perdió aproximadamente 23 millones de dólares en 2013, mientras que Facebook pagó alrededor de 98 millones de dólares en 2015 .
Este incidente resalta la vulnerabilidad de incluso las empresas más grandes del mundo frente a fraudes que explotan la confianza y los procedimientos operativos internos. Google declaró a los medios: «Hemos implementado controles robustos para detectar fraudes como este en el futuro».
Facebook, por su parte, indicó que tomó medidas adicionales para fortalecer sus defensas contra fraudes similares .
El auge del «compromiso de correo electrónico comercial»
El caso de Evaldas Rimasauskas no es un evento aislado, sino parte de una creciente ola de fraudes conocidos como «compromiso de correo electrónico comercial» (Business Email Compromise, o BEC). Este tipo de fraude involucra la suplantación de identidad para engañar a las empresas y lograr que realicen pagos a cuentas controladas por los estafadores.
Según el Centro de Quejas sobre Delitos en Internet del FBI, este tipo de estafas ha aumentado un 1,300% desde enero de 2015, con pérdidas que ascienden a más de 3,000 millones de dólares en los últimos años .
La facilidad con la que Rimasauskas logró perpetrar su fraude resalta una realidad alarmante: muchas empresas no tienen sistemas suficientemente robustos para verificar la autenticidad de las solicitudes de pago. Este tipo de fraude se basa en la manipulación de las comunicaciones y en la explotación de las debilidades en los procesos internos de las empresas, haciendo que los controles de seguridad tradicionales sean insuficientes.
Lecciones aprendidas y medidas preventivas
El caso de Rimasauskas sirve como una advertencia contundente para las empresas de todo el mundo sobre la importancia de fortalecer sus medidas de ciberseguridad y sus procedimientos internos para la verificación de pagos. Algunas recomendaciones clave incluyen:
- Verificación de identidad: Implementar procedimientos estrictos para verificar la identidad de los proveedores antes de procesar cualquier pago. Esto puede incluir la confirmación a través de múltiples canales de comunicación, no solo por correo electrónico.
- Capacitación del personal: Asegurar que todos los empleados, especialmente aquellos en departamentos financieros, reciban capacitación sobre las tácticas comunes de los estafadores y cómo identificar señales de alerta.
- Uso de tecnología avanzada: Adoptar tecnologías de inteligencia artificial y análisis de datos para detectar patrones inusuales o sospechosos en las solicitudes de pago.
- Revisión de procedimientos internos: Evaluar y mejorar continuamente los controles internos para la gestión de pagos y la autorización de transferencias.
El audaz fraude de Evaldas Rimasauskas contra Google y Facebook no solo destaca la habilidad que tienen los delincuentes cibernéticos modernos, sino también la necesidad urgente de que las empresas, sin importar su tamaño, refuercen sus defensas contra el compromiso de correo electrónico comercial.
Referencia:
- FBI/Business E-Mail Compromise. Link.
- Documento sobre la resolución del caso. Link.
- United States Attorney’s Office/Lithuanian Man Sentenced To 5 Years In Prison For Theft Of Over $120 Million In Fraudulent Business Email Compromise Scheme. Link.
Fuente: CerebroDigital.net
