El fraude del CEO, un timo millonario silenciado por las propias empresas

/in /by

Uno de los ciberdelitos más habituales es la suplantación de identidad. Delincuentes que se hacen pasar por otra persona para obtener un rendimiento, bien en forma de datos o directamente económico, de un usuario desprevenido.

¿Qué harías si recibes un correo, e incluso una llamada de tu jefe, indicando que debes realizar una transferencia de dinero urgente para cerrar la operación en la que lleva trabajando varios meses? ¿Lo harías o te arriesgarías a desobedecer las instrucciones de tu jefe? Ese es el dilema que plantea el conocido como “fraude del CEO”.

Según el FBI, este fraude ha costado más de 2.300 millones de dólares a empresas de todo el mundo, incluidas empresas como la EMT de Valencia y muchas otras.

El problema es que, para evitar daños en su reputación, muchas empresas optan por no hacer público que han sido víctimas de esta estafa, por lo que se invisibiliza este problema que no para de crecer año tras año. De hecho, ya están empezando a detectar variantes en las que se sigue el mismo “modus operandi” para estafar importes menores suplantando la identidad de otros empleados del mismo rango.

Así se gesta el fraude del CEO

A diferencia de otros fraudes de suplantación de identidad, como el phishing que, lamentablemente, abunda en la Red, el fraude del CEO no se basa en una trampa en la que cualquier usuario puede caer como si de una red de arrastre se tratara.

Lo grave de este tipo de estafas es que se trata de un ataque dirigido y diseñado para una víctima concreta sobre la que se ha recopilado una gran cantidad de datos para hacer una puesta en escena más creíble.

Los cibercriminales seleccionan a dos objetivos en una determinada empresa: un señuelo, que normalmente será un alto directivo o el propio CEO de la empresa; y un empleado ejecutor, habitualmente un miembro del equipo de administración y finanzas de la empresa, entre cuyas obligaciones se encuentre la posibilidad de realizar movimientos de dinero.

Una vez fijados los dos objetivos, los ciberdelincuentes recopilan información pública sobre la empresa, e incluso llegan a realizar ataques menores con malware para obtener información que les pueda servir para montar el escenario perfecto para hacerse pasar por el directivo o CEO llegado el momento.

Se imita el estilo y las palabras que el directivo acostumbra a utilizar en sus correos, se vigilan sus movimientos y se investiga en qué se encuentra trabajando en esos momentos.

Llegado el momento, los ciberdelincuentes pueden aprovechar unas vacaciones, un viaje o cualquier otra situación poco habitual en la que el CEO se encuentre menos localizable o que pueda entorpecer la comprobación de la transacción para enviar un correo electrónico, e incluso realizar una llamada telefónica al empleado.

En ese correo o llamada simulada por inteligencia artificial, los ciberdelincuentes suplantan la identidad del ejecutivo para solicitar la transferencia de una importante suma de dinero a un proveedor con la excusa de cerrar la operación que estaba en marcha, o cualquier otro motivo perfectamente factible ya que, probablemente, sea en lo que está trabajando el directivo en ese momento.

¿Quién podría desconfiar de la operación cuando es el propio jefe quien te pide que la realices? El empleado autoriza la operación, y el dinero transferido se pierde inmediatamente sin dejar rastro tras pasar por un entramado de cuentas secundarias.

Un fraude hecho a medida para las empresas

A diferencia de otras estafas cometidas mediante técnicas de phishing, en las que las víctimas no se distinguían entre los usuarios privados de una entidad o servicio o empresas, el fraude del CEO está específicamente dirigido a las empresas de un cierto tamaño.

Es cierto que el fraude requiere de un proceso mucho más elaborado y dirigido, pero el botín que pueden conseguir los ciberdelincuentes también acostumbra a ser mucho mayor que los que se obtienen de usuarios privados.

Este fraude ha experimentado un importante crecimiento del 50% con respecto al 2018, algo que debería poner en alerta a las empresas para activar sistemas de control y verificación para evitar este tipo de fraudes que pueden costar millones de euros a las empresas.

Uno de los ejemplos más recientes en España de este tipo de fraude ha sido el que ha sufrido la EMT de Valencia, cuyo balance de la estafa se salda con unas pérdidas valoradas en cuatro millones de euros.

Cómo pueden protegerse las empresas frente a este fraude

Ante el aumento de este tipo de fraudes se recomienda tomar una serie de precauciones para evitar este tipo de incidentes de seguridad.

En general se trata de establecer una serie de protocolos en lo que cualquier transferencia de dinero que supere cierta cantidad pueda ser verificada por más de una persona, de forma que la responsabilidad de la operación no recae sobre una sola persona y se verifica la operación por dos superiores, complicando la ejecución del fraude.

Los expertos en ciberseguridad también recomiendan utilizar una solución de seguridad para proteger el servidor de correo de la empresa, de forma que si se detecta un correo en el que el remitente utiliza una fórmula similar a la utilizada por la empresa, o similitud en su dominio que pueda llevar a confusión, este quede automáticamente bloqueado como potencialmente peligroso.

Para evitar facilitar información sobre actividades de la empresa conviene llevar a cabo un control más intensivo de los documentos estratégicos y prevenir las fugas de datos e información que se escapa del control de las empresas.

El fraude del CEO tiene un alto componente de ingeniería social en las que, el propio CEO o los directivos y personal de administración entregan, de forma voluntaria y sin saberlo, toda la información que los ciberdelincuentes necesitan para montar el escenario perfecto para su engaño.

Para evitarlo, se recomienda la formación continuada y la concienciación de todo el personal, incluidos los directivos, con charlas informativas periódicas.

En estas charlas periódicas se deben explicar las nuevas amenazas a las que se exponen a diario, cómo actuar frente a ellas y las consecuencias que estas pueden tener en las empresas y en sus propias vidas, ya que algunas de ellas pueden terminar con el despido del empleado que no ha seguido los protocolos de seguridad o que no ha tomado las debidas precauciones.

Fuente: https://www.computerhoy.com