¿Sirve para algo firmar electrónicamente las facturas?

Publicado el 04 marzo 2024 por Sva03066

En los últimos tiempos se han dado bastantes casos de una estafa denominada Man in the Middle, que consiste en que alguien intercepta la comunicación entre emisor y receptor para alterarla y lograr su propio beneficio.

Esto, que suena muy teórico, se plasma en la vida real en estafas que muchas empresas han sufrido y de la que tú o tu empresa podéis ser víctimas en cualquier momento.

Pero, ¿en qué consiste esta estafa?

En unos años -menos de los que esperas, que el tiempo vuela- todo intercambio de facturas será realizado de forma electrónica y automática entre emisor y receptor, informando a Hacienda en tiempo real y teniendo que acreditar la identidad de todos los actores que intervengan en el proceso.

Pero hoy en día, la mayoría de empresas envían sus facturas o piden a sus clientes que las descarguen mediante un fichero PDF, que muestra una apariencia similar a la factura en papel de toda la vida.

Y en este proceso es donde se produce la estafa.

El estafador logra interceptar un correo electrónico en el que tu empresa envía una factura a un cliente, edita el PDF, para poner por ejemplo sus propios datos bancarios en los datos de pago, y lo envía al cliente haciéndose pasar por tu empresa.

Tu cliente recibe un correo exactamente igual a tu correo original, con tu firma, tu logotipo, tus datos, tus comentarios... e incluso viene de tu dirección de correo electrónico habitual. Es decir, no tiene ningún motivo para pensar que ha ocurrido algo extraño y que alguien ha intervenido modificando algún dato.

Así que, llegado el momento del pago, tu cliente realiza el pago al número de cuenta indicado en la factura, que ya no es tu cuenta sino la del estafador.

Cuando pasa el tiempo y no recibes el pago de tu cliente, comienzas a tirar del hilo, hablas con tu cliente, quien te asegura que ha pagado y al revisar la factura que recibió se comprueba que el número de cuenta que aparece no es el tuyo.

Para recibir el pago, los estafadores normalmente habrán abierto una cuenta con documentación falsa o a nombre de personas en situación social marginal, que aportan su documentación auténtica, y en cuanto reciben un pago, lo transfieren múltiples veces para que sea imposible seguirlo.

Se han dado muchos casos de esta estafa tanto en empresas como en entidades públicas. Basta con que busques "Estafa man in the middle facturas" en Google y encontrarás más de 43.000 resultados, muchos de ellos de estafas reales cometidas en España.

Pero, ¿cómo garantizar al cliente que la factura es legítima?

Hoy no puedes estar seguro de que un e-mail viene de quien dice venir o que quien te llama es quien aparece en la pantalla del móvil. Incluso es posible que alguna vez recibas un e-mail que parece enviado desde tu propia dirección electrónica. Incluso se están dando casos de spoofing telefónico, que consiste en que recibes una llamada de teléfono, por ejemplo, desde el número de tu banco, pero es alguien que se hace pasar por ellos, aunque en la pantalla aparece el número legítimo de la entidad.

Todos estos casos de suplantación de identidad se basan en agujeros de seguridad que tienen tanto los servidores de correo como las centrales telefónicas. Pero estos sistemas no están a tu alcance para mejorar su seguridad sino que se trata de los equipos que usan los proveedores de Internet o de telefonía. Hay que suponer que las empresas proveedoras de estos servicios han tomado las medidas oportunas para evitar que esto pase, pero no siempre es así y a veces no reaccionan con la suficiente rapidez cuando se detecta un agujero de seguridad. O puede que pase tiempo desde que los hackers encuentran la forma de aprovechar estas puertas traseras y alguien se da cuenta de que esto está ocurriendo.

La forma más efectiva de garantizar que un PDF no ha sido alterado es firmarlo electrónicamente con un certificado digital. Esta operación, que se puede hacer en segundos, garantiza que el documento que recibe tu cliente no ha sido alterado. Basta con indicar al cliente que compruebe la situación de la firma electrónica en el PDF.

Un PDF legítimo que no ha sido alterado mostrará al abrirlo un mensaje indicando que la firma es válida, como éste:

Y si pedimos más información, nos dará detalles de la firma y, sobre todo, nos dice que el documento no ha sido alterado desde que se firmó:

Incluso si pulsamos sobre el botón "Propiedades de la firma... " nos indicará más datos como la fecha y hora de la firma o el emisor del certificado con el que se ha firmado.

Sin embargo, si el PDF ha sido alterado desde que lo firmamos, al abrirlo recibiremos un aviso como éste:

Lo que indica que el documento ha sido alterado después de haberlo firmado digitalmente.

No es necesario contratar ningún servicio de pago para firmar documentos. Hay herramientas gratuitas como el Adobe Acrobat Reader que nos permiten firmar un documento con el certificado digital emitido por la FNMT o por otra entidad de confianza.

También hay herramientas que permiten firmar en lote múltiples documentos como Xolido Sign. Y si lo que buscas es automatizar la firma de muchos documentos la solución es una herramienta de firma como VIDsigner, que es de pago, pero con un coste muy, muy inferior, tanto económico como de reputación, a las perdidas que puedes sufrir en caso de ser víctima de la estafa de Man in the Middle.

Para cualquier cosa, a tu disposición:

fernando@artaiz-asesoria.es

645 541 842