La historia detrás del engaño informático que le hizo perder casi medio millón de dólares a la Fábrica Argentina de Aviones

“Todavía estamos consternados”, dicen desde FAdeA, la Fábrica Argentina de Aviones Brigadier San Martín, la empresa estatal que se dedica a la producción y reparación de aeronaves y la investigación aeroespacial, y cuya planta está ubicada en la provincia de Córdoba, Argentina. Con una investigación judicial en curso, tratan de recuperar los 453 mil dólares que transfirieron por error a un estafador que usurpó los correos electrónicos de un proveedor habitual, y que fue quien les hizo girar el dinero destinado a los frenos del avión Pampa a una cuenta equivocada. En el fondo se esconde un problema aún mayor que podría estar asociado a la vulnerabilidad detectada en el servidor Exchange, de Microsoft, a nivel mundial.

FAdeA es quien produce el avión Pampa IA-63, una aeronave de entrenamiento avanzado con capacidades de combate, cuyo principal cliente es el Estado argentino. Pero no fabrica todas las piezas del avión, sino que depende -como una automotriz para sus autos, o un fabricante de celulares para sus smartphones- de varios proveedores. En este caso hicieron un pedido a la empresa estadounidense Advent Aircraft Systems, para comprar distintas partes del sistema de frenado del tren de aterrizaje del avión. Una orden de compra que se fue postergando con el tiempo al compás de los presupuestos acotados del país, pero que finalmente se concretó a fines del año pasado.

Fue a finales de 2020 cuando retomaron el correo electrónico que había quedado pendiente de enero. Ahora sí, era el momento de traer las partes. La respuesta fue clara, palabras más, palabras menos: “ya tenemos lo que ustedes necesitan, así que sería bueno que abonen directamente las dos primeras cuotas”. Eso eran en total US$ 366.332,72 de la primera, y US$ 87.299,85, de la segunda. Desde FAdeA aceptaron. Y así siguieron el diálogo con Rod W., del área financiera de la empresa. Algo, sin embargo, había cambiado, aunque con mucho disimulo: la dirección de mail que les contestaba (@aircraftsystems.aero) no era igual a la de enero de 2020: ahora los mails llegaban del remitente @aircradtsystems-aero.com. Parecido, y difícil de detectar para alguien que no estuviera controlando ese cambio.

No fue la única modificación: otra, menos imperceptible, apareció en la conversación entre FAdeA y su proveedor. Le explicaron a la empresa estatal argentina que habían cambiado la cuenta bancaria y que debían transferir a otra, misteriosamente también a nombre de Advent, pero en el banco Wells Fargo, diferente a la del Bank of America que figuraba en la conversación previa.

Sin embargo, nadie sospecharía nada. En principio, desde la gerencia de compras le pidieron a la empresa estadounidense que cambiaran algunas cuestiones que estaban mal en la nueva factura, como la descripción de los artículos o la fecha del nuevo despacho. Las respuestas eran inmediatas. Y así fue que tras varios días (y algunas desprolijidades de parte de quienes hablaban en nombre de Advent, que quisieron mudar nuevamente sus cuentas por “problemas fiscales”), FAdeA terminó transfiriendo 453.000 dólares en dos partes a una cuenta equivocada. Eso sucedió entre el 7 y el 21 de enero.

“Nosotros hablábamos con alguien que simulaban ser representante de la empresa, y mientras tanto ellos hablaban como falsos representantes nuestros. Cuando nosotros teníamos alguna duda, se ve que la consultaban en una conversación paralela. A nosotros nos apuraban con los pagos y a ellos los entretenían”, señala alguien desde la Fábrica de Aviones, que luego de lo ocurrido inició una investigación interna para determinar qué fue lo que sucedió. “Incluso las facturas eran exactamente iguales a las que hacían ellos”, afirma.

Esta técnica de estafa se conoce como Business Email Compromised (BEC). Al igual que en este caso que afectó el patrimonio de la empresa estatal, divisas y confianza, hubieron otras empresas en el país que se vieron afectadas, incluso clubes de fútbol como Boca Juniors. En términos generales, la metodología es la misma: los delincuentes se apropian de las cuentas de correo electrónico ajenas y dialogan con sus clientes como si fueran parte de la empresa. Así, logran desviar fondos a cuentas bancarias que ellos controlan. Luego retiran el dinero y lo reintroducen en el sistema con maniobras de lavado de dinero. O, internamente en las empresas, alguien se hace pasar por el director o el gerente, y pide, bajo estricta reserva, que la secretaria o asistente transfiera dinero a un determinado lugar. De forma inmediata.
Según el FBI, es uno de los delitos en línea más perjudiciales desde el punto de vista financiero y que aprovecha sobre todo “el hecho de que muchos de nosotros dependemos del correo electrónico para realizar negocios, tanto personales como profesionales”. El año pasado, según el organismo, se perdieron más de 2000 millones de dólares en este tipo de delitos. Los especialistas recomiendan activar un segundo factor de comunicación: WhatsApp, WeChat, además del mail, para confirmar por ejemplo el cambio de cuentas.

En el caso de Advent, según pudieron saber en la Argentina, los mails de la empresa estuvieron afectados porque los estafadores digitales aprovecharon una vulnerabilidad de los servidores de correo electrónico de Exchange, de Microsoft, que es utilizada justamente para robar información de las compañías que utilizan este producto. Estas puertas traseras le dan al atacante un control remoto completo sobre el servidor de la empresa (incluido el acceso a cualquiera de los correos electrónicos del servidor). Básicamente, le permitía a los atacantes tomar el control de los servidores sin necesidad incluso de conocer el usuario y contraseña de los empleados. Afectó a las versiones locales y no a las que funcionan en la nube.

Según el experto en seguridad informática Brian Krebs, el número de organizaciones afectadas serían cientos de miles; ya existe un parche que corrige esto (que tapa el agujero de seguridad), y según cálculos de Microsoft más del 90 por ciento de las empresas estarían seguras para evitar esas intromisiones. Krebs dijo en su momento que desde Redmond reconocieron que sabían de la vulnerabilidad desde principios de enero. La Casa Blanca también sumó su preocupación. Y organizaciones como la Autoridad Bancaria Europea (EBA), ya admitieron haber sido afectados.
En el caso de FAdeA, ahora esperan el pedido: Advent se hará cargo de la mitad de lo abonado. Es que en definitiva la intromisión fue a su sistema: no fue un problema de FAdeA. La empresa argentina pagará la otra parte. Pero solo una vez que reciba lo pautado. “Vamos a seguir litigando a ver si podemos cobrar todo”, señalan desde Córdoba. Por lo pronto, ya hay una denuncia en la UIF (Unidad de Información Financiera) y en la Justicia, donde también colaboró la Unidad Fiscal Especializada en Ciberdelitos (UFECI).
El Pampa IA-63 todavía no tiene las partes de frenado y todos buscan que no se pare la producción por un engaño inesperado.