La emisión de facturas falsas por email y otros canales es uno de los delitos informáticos más extendidos de internet. La intercepción de datos críticos o la suplantación de identidad son técnicas comunes entre los ciberdelincuentes para perpetrar esta estafa, cuya responsabilidad puede recaer sobre proveedores de mailing y otras partes involucradas en dicha comunicación.
Exactamente, ¿qué es la falsificación de facturas?, ¿cómo se diferencia una factura fraudulenta de otra legítima? En primer lugar, las falsas facturas por correo electrónico se definen como solicitudes de pago ilegítimas emitidas a clientes o consumidores bajo la apariencia de un proveedor de confianza o en nombre de una autoridad pública. Se enmarcan en el ámbito de los delitos de falsedad documental y conllevan, para sus autores y/o corresponsables, sanciones graves por incumplimiento de la ley de facturación.
Es común que esta práctica se presente bajo la forma del phishing, en la que se suplanta la identidad de una empresa u organismo reconocido, para obtener las contraseñas, claves bancarias, etcétera, de la víctima. En ocasiones, el objetivo de los responsables del spam de facturas falsas no es conseguir el pago, sino infectar el ordenador del destinatario. Con ello, logran sustraer sus datos personales a través de troyanos y otros programas maliciosos.
Para identificar y demostrar una factura falsa, existen softwares gratuitos y de pago que permiten validar la firma digital y contrastar sus datos con los del documento recibido. Pero incluso sin esta herramienta, las facturas apócrifas se delatan por la vaguedad de sus conceptos, generalmente asociados a montos demasiado altos. En el listado de conceptos, los productos y/o servicios que se reclaman, son tan indeterminados que cuesta entender su origen.
Además, si el supuesto acreedor se limita a adjuntar la factura al correo, sin adicionar contratos ni albaranes, la probabilidad de fraude es alta. Por otra parte, el phishing sigue un patrón muy reconocible. Por ejemplo, el texto del encabezado expresan un cierto sentido de urgencia, explotando con ello un conocido mecanismo publicitario que pretende anular el lado racional de la víctima y empujarle a tomar una decisión emocional. El tono general de los mensajes, además, es extremadamente impersonal, sin aludir al nombre o cargo del destinatario.
Sin embargo, la piedra de toque se encuentra en el apartado de referencias o conceptos de la factura en cuestión: el servicio y/o producto que en él se detalla, jamás fue prestado. Esta característica es común en todos los ejemplos de facturas falsas.
Como evitar ser víctima de la falsificación de facturas
Aunque la emisión de facturas falsas está tipificado como delito según el artículo 201 de la Ley General Tributaria, las sanciones —que contemplan penas de prisión de seis meses a tres años— son insuficientes para disuadir a los ciberdelincuentes. Una vez más, la prevención demuestra ser la mejor defensa para los internautas y empresas.
El cifrado de emails, por un lado, emplea protocolos de comunicación como OpenPGP, Bitmessage o TLS para encriptar los mensajes de correo electrónicos durante su tránsito, asignando una clave única para descifrar su contenido. Outlook, Gmail, Yahoo y otros conocidos proveedores ofrecen a sus usuarios la posibilidad de establecer una configuración S/MIME.
Otra medida para evitar el phishing en general y las estafas de facturación en particular es utilizar una firma electrónica, como DKIM (Domain Keys Identified Mail), encabezado que valida y certifica la integridad del cuerpo del mensaje y de sus archivos adjuntos. Por su parte, agregar métodos de autenticación de correos como SPF (Sender Policy Framework). Con estas medidas de seguridad, es posible eludir las consecuencias de las facturas falsas.
¿Estafado por una factura falsa? Todo lo que debes saber
Las víctimas del delito de una factura falsa deben apersonarse en la oficina de la Agencia Tributaria más cercana para presentar una denuncia o realizar este trámite por las vías telemáticas habilitadas para ello. El siguiente paso es contactar con un perito informático especialista en correo electrónico, para certificar el carácter delictivo del archivo y reunir las pruebas documentales necesarias para reclamar al seguro, al proveedor del servicio de mailing o a la entidad bancaria. También será útil para la propia defensa del afectado.
Y es que la jurisprudencia de facturas falsas invita a ser cautos con respeto al reparto de responsabilidad de este tipo de delitos, que no siempre recae sobre una única persona. El destinatario del email con la factura en cuestión, por ejemplo, podría asumir parte de la culpa de la estafa en una serie de supuestos; por ejemplo, si no certificó que el documento cumplía con la normativa, si presentaba firma electrónica o si contenía el CIF/DNI del emisor y el receptor u otros datos obligatorios.
Eventualmente, la culpa del delito puede recaer sobre la compañía que proporciona el servicio de correo electrónico (mailbox provider). En caso de demostrarse una vulnerabilidad en la seguridad interna del proveedor (un chequeo incorrecto de las firmas DKIM y SPF, por ejemplo), la empresa será identificada como responsable parcial del phishing.
