Hospital demanda a Bank of America por robo cibernético de un millón de dólares – Krebs on Security

Un hospital público en el estado de Washington está demandando Banco de America para recuperar algunas de las pérdidas de un robo cibernético de $ 1.03 millones que sufrió la organización de atención médica en 2013.

cascada En abril de 2013, ciberladrones organizados irrumpieron en las cuentas de nómina de Hospital n.° 1 del condado de Chelan uno de varios hospitales administrados por la centro medico cascada en Leavenworth, Washington. Los ladrones agregaron a la cuenta de nómina del hospital casi 100 «mulas de dinero», cómplices involuntarios que habían sido contratados para recibir y enviar dinero a los perpetradores.

El jueves 19 de abril, y luego nuevamente el 20 de abril, los ladrones realizaron un total de tres pagos de nómina no autorizados (conocidos como pagos automáticos o ACH), desviando aproximadamente $1 millón del hospital.

Bank of America finalmente pudo recuperar aproximadamente $ 400,000 de los pagos de nómina fraudulentos. Pero en una queja (PDF) presentada contra el banco, el hospital alega que un empleado del personal del Tesorero del condado de Chelan notó que algo andaba mal el lunes siguiente, 22 de abril de 2013, y alertó al banco sobre la actividad sospechosa.

“Craig Scott, un empleado de Bank of America, se comunicó con la oficina del tesorero del condado de Chelan más tarde esa mañana y preguntó si se autorizó una solicitud de transferencia pendiente de $603,575.00”, dice la denuncia. “No se habían transferido fondos en el momento de la llamada telefónica. Theresa Pinneo, una empleada de la Oficina del Tesorero del Condado de Chelan, respondió de inmediato que la solicitud de transferencia de $603,575.00 no estaba autorizada. No obstante, Bank of America procesó la solicitud de transferencia de $603,575.00 y transfirió los fondos según las instrucciones de los piratas informáticos”.

El condado de Chelan alega incumplimiento de contrato, señalando que el acuerdo entre el condado y el banco incorpora reglas de la Asociación Nacional de Cámaras de Compensación Automatizadas (NACHA), y que esas reglas requieren que las instituciones financieras implementen un programa de gestión de riesgos para todas las actividades de ACH; evaluar la naturaleza de la actividad ACH del condado de Chelan; implementar un límite de exposición para el condado de Chelan; para monitorear la actividad ACH del condado de Chelan a lo largo de múltiples fechas de liquidación; y hacer cumplir ese límite de exposición. La demanda alega que Bank of America fracasó en todos esos aspectos y que infringió una ley del estado de Washington que rige las órdenes de pago autorizadas y verificadas.

En una respuesta (PDF) presentada ante el Tribunal de Distrito de EE. UU. para el Distrito Este de Washington en Spokane, Bank of America negó casi todas las acusaciones de la demanda, incluido que ignoró la advertencia del hospital de no procesar el lote de pago de $603,575.

El banco señaló que sus obligaciones contractuales con el condado se rigen por el Codigo comercial Uniforme (UCC), que ha sido adoptado por la mayoría de los estados (incluido Washington). La UCC sostiene que una orden de pago recibida por el [bank] es “eficaz como la orden del cliente,esté o no autorizadosi el procedimiento de seguridad es un método comercialmente razonable de proporcionar seguridad contra órdenes de pago no autorizadas, y el banco prueba que aceptado la orden de pago de buena fe y de conformidad con el procedimiento de seguridad y cualquier acuerdo escrito o instrucción del cliente que restrinja la aceptación de órdenes de pago emitidas a nombre del cliente.”

Este robo cibernético refleja los ataques contra docenas de otras empresas en los últimos cinco años que han perdido decenas de millones de dólares a manos de delincuentes armados con poderosos troyanos bancarios como ZeuS. No está claro qué tipo de malware se usó en este ataque, pero el dinero se canalizó a través de una banda de cobro que este blog ha relacionado con robos cibernéticos orquestados por delincuentes organizados que distribuyeron ZeuS a través de campañas de correo electrónico no deseado.

Las empresas y los consumidores operan bajo reglas muy diferentes en lo que respecta a la banca en línea. Los consumidores están protegidos por Regulación Eque limita drásticamente la responsabilidad de aquellos que pierden dinero por actividad de cuenta no autorizada en línea (siempre que la víctima notifique a su institución financiera sobre la actividad fraudulenta dentro de los 60 días posteriores a la recepción de un estado de cuenta cuestionado).

Las empresas, sin embargo, no disfrutan de tales protecciones. El banco de la organización víctima puede decidir reembolsar a la víctima por algunas de las pérdidas, pero más allá de eso, el único recurso para la víctima es demandar a su banco. Según las interpretaciones estatales de la UCC, lo máximo que una empresa afectada por un robo cibernético puede esperar recuperar es la cantidad que fue robada. Eso significa que, por lo general, no conviene a los mejores intereses de la empresa demandar a su banco a menos que el monto del robo sea bastante alto, ya que los honorarios de litigio necesarios para ganar una batalla judicial pueden igualar o superar rápidamente el monto robado.

Por lo tanto, si tiene un negocio y espera que su banco proteja sus activos en caso de que usted o uno de sus empleados sea víctima de un esquema de phishing de malware, podría tener un mal despertar. Vigile de cerca sus libros, exija que más de un empleado firme todas las transferencias grandes y considere adoptar algunas de estas: Prácticas recomendadas de banca en línea para empresas.

Deja un comentario