11 Jul FRAUDE INFORMÁTICO “MAN IN THE MIDDLE” U “HOMBRE EN EL MEDIO”. PAGO DE FACTURA A FALSO ACREEDOR. LIBERACIÓN DEL DEUDOR
La integración y consolidación de la tecnología en el día a día de la sociedad ha tenido su lógico reflejo también en las formas que los delincuentes vienen utilizando, desde hace ya algún tiempo, para la comisión de hechos delictivos.
Los delitos de este tipo han sufrido un aumento exponencial en los últimos años, pasando de 136.656 en 2018 a 426.44 en 2023, lo que supone un aumento del triple, concentrándose principalmente en tres autonomías: Madrid, Cataluña y Andalucía. Entre las tres suman el 49% de los fraudes informáticos detectados en España en 2023, es decir, una media, entre las tres, de 599 fraudes al día.
Las modalidades son muchas, casi todas ellas identificadas con nombres anglosajones: ramsonware, phishing, pharming, estafa al CEO y el fraude man in the middle.
A pesar de la gran variedad existente, todas estas figuras cuentan con un punto común entre ellas cual es el engaño al que someten a la víctima, cuyo error resulta clave para el éxito de estas nuevas modalidades de comisión de delitos.
En el presente artículo vamos a analizar el fraude conocido como man in the middle u hombre en el medio, que consiste en el acceso no autorizado al correo electrónico de un tercero -normalmente, una empresa proveedora de bienes y/o servicios- con el fin de comprometer sus comunicaciones y, tras una paciente vigilancia, detectar el contacto con otras personas en el ámbito de una relación comercial respecto del envío de facturas o albaranes, para, a través de diferentes formas, provocar que el pago de la mercancía o servicio en cuestión llegue a la cuenta del defraudador y no a la del auténtico acreedor.
Para ello, el defraudador suele actuar de dos maneras: una, accediendo al archivo adjunto que se corresponde con la factura o el albarán y sustituir el número de cuenta por otro en su favor, pero respetando el resto del formato original del documento, con la idea de que el cambio producido resulte imperceptible para los ojos del pagador; y otra, remitiendo el propio ciberdelincuente, haciéndose pasar por el verdadero vendedor o prestador de servicio, un correo electrónico comunicando al obligado al pago un nuevo número de cuenta donde hacerlo efectivo, distinto al que previamente le había facilitado el real proveedor.
En palabras de la SAP de Navarra, Sección 2ª, nº 255/2022, de 26 de octubre, esta modalidad delictiva “…supone que un tercero logra infiltrarse en el correo electrónico de una mercantil o dos o más mercantiles […] y se dedica, pacientemente, a vigilar los correos que se intercambian. Cuando finalmente ve que las partes han cerrado un acuerdo y están a punto de realizar el pago, pasan a la acción. Suplantan la identidad del proveedor y envían un correo electrónico con nuevas indicaciones para realizar el pago, indicando una nueva cuenta bancaria, controlada por ellos”.
Lo expuesto, más allá de la evidente vertiente penal con la que cuenta puesto que nos encontramos ante un delito, puede -y debe- analizarse desde un punto de vista civil.
Hay que tener en cuenta que ambas partes han sufrido un perjuicio: el deudor acaba realizando un pago a una cuenta errónea en la creencia de que está abonando la cantidad solicitada al verdadero proveedor y éste se encuentra con que no ve satisfecho el precio de la prestación del servicio y/o venta del producto. Por ello, resulta necesario dilucidar qué parte contractual debe asumir la pérdida patrimonial producida por el fraude, es decir, si el deudor queda liberado del pago o si debe volver a realizarlo al acreedor real.
La cuestión planteada se resuelve acudiendo al artículo 1164 del Código Civil y a la jurisprudencia -escasa por el momento- que lo ha desarrollado en relación con este tipo de supuestos.
Dicho precepto dispone que “el pago hecho de buena fe al que estuviere en posesión del crédito, liberará al deudor”. El espíritu que subyace en la norma es la protección de la confianza en la apariencia jurídica del que se presenta como acreedor y la buena fe en el tráfico.
Ahora bien, para que dicho efecto liberatorio tenga lugar, el deudor debe haber actuado con diligencia, es decir, en palabras del Tribunal Supremo en Sentencia de 17 de octubre de 1998, se “requiere que quien se presenta y actúa como acreedor lo haga con una apariencia adecuada, razonable y objetivamente verosímil, revestido de unas circunstancias que, con independencia de móviles subjetivos del que pagó, de su simple error o creencia, sirvan de justificante a su buena fe, cual ocurre en términos generales y ha de probarla en cada caso concreto aquel que paga a persona distinta de quien es titular del crédito y a cuyo favor estuviese constituida la obligación; solo la razonabilidad de la legitimación aparente justifica la liberación del deudor”.
En definitiva, de lo anterior se extrae que tres son los requisitos para que pueda apreciarse el mencionado efecto liberatorio: (i) pago efectivo por el deudor; (ii) posesión del crédito o apariencia de titularidad del mismo, que debe ser razonable u objetivamente verosímil, es decir, que justifique la buena fe al pagar a persona distinta del verdadero acreedor; y (iii) buena fe del deudor o solvens, siendo la buena fe a la que alude el precepto referido, no la subjetiva del artículo 433 del Cc, sino la objetiva del artículo 1258 de dicho texto legal, en tanto no basta la mera creencia o convencimiento subjetivo de que se paga al verdadero acreedor, sino que es necesaria que tal creencia exista aun habiendo empleado la diligencia realmente exigible de acuerdo con las circunstancias del caso, debiendo derivar de datos objetivos y fiables.
En relación con el ámbito subjetivo de la buena fe, se tendrá en cuenta la actuación del deudor tanto en el momento de realizar el pago como con posterioridad, analizándose, entre otras cuestiones, si, una vez descubierto el fraude, mostró una actitud colaborativa con la otra parte, así como si colaboró con las autoridades policiales para esclarecer los hechos, aportando todos los datos y documentos necesarios.
También se tendrá en consideración si el deudor intentó recuperar el importe abonado contactando con su entidad bancaria y, en general, si sus actuaciones fueron acordes a la denominada buena fe subjetiva.
En cuanto a la buena fe objetiva, existen diferentes particularidades que han sido valoradas por los Tribunales para concluir si ha quedado o no acreditada su existencia.
Así, se valoran circunstancias como los términos lingüísticos llamativos en los correos electrónicos fraudulentos, la utilización de diferentes tipos de letra o tabulado, diferencias entre los espacios entre palabras, cambios en la forma del encabezamiento, despedida, tratamiento y membretes, cambio a una cuenta ubicada en país distinto al del acreedor, remisión de correo informando sobre modificación en el número de cuenta sin aportar mayores explicaciones, etc., sin que el deudor pueda ampararse en una lectura rápida, demandándose por nuestros Tribunales que el empresario actúe con la diligencia necesaria.
De igual forma, se tienen en consideración las medidas de seguridad del deudor, es decir, si cuenta con un sistema de seguridad suficiente para evitar este tipo de fraudes.
En conclusión, la jurisprudencia es exigente en cuanto a las condiciones que deben concurrir en el deudor para que éste se vea liberado de pago cuando lo ha realizado previamente al defraudador, por lo que los Tribunales son reacios, por el momento, a aceptar dicha liberación cuando no ha actuado con la diligencia que le es exigible.
Luis Gutiérrez Ruiz
(Guerrero Abogados)