¿Qué harías si recibes un correo, e incluso una llamada de tu jefe, indicando que debes realizar una transferencia de dinero urgente para cerrar la operación en la que lleva trabajando varios meses? ¿Lo harías o te arriesgarías a desobedecer las instrucciones de tu jefe? Ese es el dilema que plantea el conocido como “fraude del CEO”.

Según el FBI, este fraude ya ha costado más de 2.300 millones de dólares a empresas de todo el mundo, incluidas empresas como la EMT de Valencia y muchas otras.

El problema es que, para evitar daños reputacionales, muchas empresas optan por no hacer público que han sido víctimas de esta estafa, por lo que se invisibiliza este problema que no para de crecer año tras año. De hecho, ya están empezando a detectar variantes en las que se sigue el mismo modus operandi para estafar importes menores suplantando la identidad de otros empleados del mismo rango.

Así se gesta el fraude del CEO

A diferencia de otros fraudes de suplantación de identidad, como el phishing que –lamentablemente—abunda en la Red, el fraude del CEO no se basa en una trampa en la que cualquier usuario puede caer como si de una red de arrastre se tratara.

Lo grave de este tipo de estafa es que se trata de un ataque dirigido y diseñado para una víctima concreta sobre la que se ha recopilado una gran cantidad de datos para hacer una puesta en escena más creíble.

Los cibercriminales seleccionan a dos objetivos en una determinada empresa: un señuelo, que normalmente será un alto directivo o el propio CEO de la empresa; y un empleado ejecutor, habitualmente un miembro del equipo de administración y finanzas de la empresa, entre cuyas obligaciones se encuentre la posibilidad de realizar movimientos de dinero.

Una vez fijados los dos objetivos, los ciberdelincuentes recopilan información pública sobre la empresa, e incluso llegan a realizar ataques menores con malware para obtener información que les pueda servir para montar el escenario perfecto para hacerse pasar por el directivo o CEO llegado el momento.

Se imita el estilo y las palabras que el directivo acostumbra a utilizar en sus correos, se vigilan sus movimientos y se investiga en qué se encuentra trabajando en esos momentos.

Llegado el momento, los ciberdelincuentes pueden aprovechar unas vacaciones, un viaje o cualquier otra situación poco habitual en la que el CEO se encuentre menos localizable o que pueda entorpecer la comprobación de la transacción para enviar un correo electrónico, e incluso realizar una llamada telefónica al empleado.

No te dejes engañar: estos son los trucos que usa el phishing para obtener tus datos

El phishing es una de las técnicas más usadas por los ciberdelincuentes para hacerse con las credenciales de usuario. Te mostramos algunos trucos que usa el phishing para engañar a los usuarios y robarles sus datos personales al hacerles creer que se encuentran en una página legítima. 

Leer la noticia

En ese correo o llamada simulada por inteligencia artificial, los ciberdelincuentes suplantan la identidad del ejecutivo para solicitar la transferencia de una importante suma de dinero a un proveedor con la excusa de cerrar la operación que estaba en marcha, o cualquier otro motivo perfectamente factible ya que, probablemente, sea en lo que está trabajando el directivo en ese momento.

¿Quién podría desconfiar de la operación cuando es el propio jefe quien te pide que la realices? El empleado autoriza la operación, y el dinero transferido se pierde inmediatamente sin dejar rastro tras pasar por un entramado de cuentas secundarias.

Un fraude hecho a medida para las empresas

A diferencia de otras estafas cometidas mediante técnicas de phishing, en las que las que las víctimas no se distinguían entre usuarios privados de una entidad o servicio o empresas, el fraude del CEO está específicamente dirigido a las empresas de un cierto tamaño.

Es cierto que el fraude requiere de un proceso mucho más elaborado y dirigido, pero el botín que pueden conseguir los ciberdelincuentes también acostumbra a ser mucho mayor que los que se obtienen de usuarios privados.

Este fraude ha experimentado un importante crecimiento del 50% con respecto al 2018, algo que debería poner en alerta a las empresas para activar sistemas de control y verificación para evitar este tipo de fraudes que pueden costar millones de euros a las empresas.

Uno de los ejemplos más recientes en España de este tipo de fraude ha sido el que ha sufrido la EMT de Valencia, cuyo balance de la estafa se salda con unas pérdidas valoradas en cuatro millones de euros.

Cómo pueden protegerse las empresas frente a este fraude

Ante el aumento de este tipo de fraudes, los expertos de ESET, empresa de seguridad europea con más de 30 años de experiencia en el desarrollo de soluciones de seguridad informática, recomiendan tomar una serie de precauciones para evitar este tipo de incidentes de seguridad.

En general se trata de establecer una serie de protocolos en los que cualquier transferencia de dinero que supere cierta cantidad pueda ser verificada por más de una persona, de forma que la responsabilidad de la operación no recae sobre una sola persona y se verifica la operación por dos superiores, complicando la ejecución del fraude.

Desde ESET también se recomienda utilizar una solución de seguridad para proteger el servidor de correo de la empresa, de forma que si se detecta un correo en el que el remitente utiliza una fórmula similar a la utilizada por la empresa, o similitud en su dominio que pueda llevar a confusión, este quede automáticamente bloqueado como potencialmente peligroso.

Para evitar facilitar información sobre las actividades de la empresa conviene llevar a cabo un control más intensivo de los documentos estratégicos y prevenir las fugas de datos e información que se escapa del control de las empresas.

El fraude del CEO tiene un alto componente de ingeniería social en las que, el propio CEO o los directivos y personal de administración entregan, de forma voluntaria y sin saberlo, toda la información que los ciberdelincuentes necesitan para montar el escenario perfecto para su engaño.

La protección de endpoints empresariales mejora conectándose a la nube

La computación en la nube tiene mucho que aportar en el ámbito de la seguridad informática, mejorando la capacidad de respuesta frente a intentos de ataque e incrementando la potencia y fiabilidad de los motores de detección de amenazas.

Leer la noticia

Para evitarlo, en ESET apuestan por la formación continuada y la concienciación de todo el personal, incluidos los directivos, con charlas informativas periódicas.

En estas charlas periódicas se deben explicar las nuevas amenazas a las que se exponen a diario, cómo actuar frente ellas y las consecuencias que estas pueden tener en las empresas y en sus propias vidas, ya que algunas de ellas pueden terminar con el despido del empleado que no ha seguido los protocolos de seguridad o que no ha tomado las debidas precauciones.