Hoy en día, el “phishing” es una de las estafas electrónicas más habituales. Los correos electrónicos, SMS, mensajes de WhatsApp… son algunas de las formas en las que viene camuflado el “phishing”. Esta técnica consiste en conseguir tus datos personales y bancarios haciéndose pasar por una empresa, banco u otra organización real.
Pero, este sistema ha ido mucho más allá. Ahora ya no se hacen pasar por una entidad, sino que suplantan la identidad de una persona física con nombre y apellidos. Dicha persona es un gerente, directivo, jefe ejecutivo… alguien que ostenta un alto cargo en la empresa. Los individuos conocidos como CEO.
A partir de estos cargos y del “phishing” ha surgido un nuevo ciberdelito, el “fraude del CEO”. Una técnica mucho más sofisticada y en pleno apogeo, que consiste en suplantar la identidad del máximo responsable de una empresa (CEO) para instar a un empleado, con acceso a datos sensibles y cuentas bancarias, a que realice transacciones financieras fuera de los procesos habituales de la empresa.
Lo que caracteriza a estos delitos es que se suelen realizar a través de correos electrónicos en los que el asunto es urgente, confidencial y con un trato muy personalizado para el receptor del mensaje.
El “nuevo” ciberdelito en el que ninguna empresa admitirá ser víctima
Actualmente, es difícil identificar a las empresas que han caído en este fraude. A parte del gran perjuicio económico sufrido, velan por mantenerse en el anonimato y que su prestigio como empresa no se vea afectado.
De modo que, pocas instituciones quieren revelar haber sido víctimas de estas prácticas. No obstante, el “fraude del CEO” suma cientos de casos en España. Uno de los casos más sonados sucedió en Valencia en septiembre del 2019. La Empresa Municipal de Transporte (EMT) perdió cuatro millones de euros, debido al engaño sufrido, mediante correos electrónicos, a la jefa de Administración de la empresa.
Otras empresas de Sevilla también han sufrido importantes pérdidas, traducidas en varios millones de euros, a través de esta misma práctica.
Una de las últimas estafas bancarias utilizando este método fue a la cooperativa agrícola de la localidad valenciana de Requena. El pasado mes de febrero la Guardia Civil detuvo a tres mujeres y dos hombres por presuntamente estafar más de 120.000 euros a empresas de las provincias de Valencia, Mallorca, Ciudad Real y A Coruña.
Un “modus operandi” planificado
En el “modus operandi” de este ciberdelito, los delincuentes seleccionan a dos patrones de víctimas de una determinada empresa. En primer lugar, la víctima no participante indiscriminada, en los que la víctima no tiene ningún tipo de unión con el delincuente: sería la persona por la que se van a hacer pasar, que normalmente será un alto directivo o el propio CEO de la empresa.
Una vez identificada a la persona a la que quieren suplantar, estudian su comportamiento y, ¿cómo lo hacen? Recopilando información pública sobre la empresa, el sector de la empresa a la que pertenece, su red de contactos, los colaboradores, las transacciones habituales… Toda esta información la obtienen a través de lo que publican las propias empresas en redes sociales, e incluso pueden llegar a realizar ataques menores con malware y hackeo de cuentas, la WiFi de su casa o la WiFi pública a la que se conectan. De esta forma, se hacen con el control del equipo y contraseñas para estudiar el estilo y las palabras que el directivo acostumbra a utilizar en sus correos electrónicos con sus trabajadores.
En segundo lugar, la víctima participante, que desempeña un papel en la comisión del delito, aunque sea de manera involuntaria: sería el empleado ejecutor, habitualmente un miembro del equipo de administración y finanzas de la empresa, entre cuyas obligaciones se encuentre la posibilidad de realizar movimientos de dinero.
Como todos los días se publica en las páginas web corporativas y en las redes sociales de los empleados información de futuros eventos empresariales, viajes, etc. Los ciberdelincuentes aprovechan estas situaciones en las que el CEO se encuentra menos localizable para enviar los correos electrónicos fraudulentos.
Para que el mensaje resulte creíble, se envía desde una dirección de email en la que aparecen el nombre y el apellido del CEO, simulando su estilo de redacción y con su firma al final del email, generando un entorno de confianza para la víctima.
El contenido de estos correos electrónicos es tratar un asunto confidencial y urgente, en el que se solicita permiso para realizar transacciones, acceder a información sensible, modificación de un número de cuenta, etc.
A diferencia del tradicional “phishing”, este tipo de estafa es dirigida y diseñada para dos tipos de víctimas concretas sobre las que se ha recopilado una gran cantidad de datos con el fin de hacer una escena más creíble.
Analizando toda la planificación, habilidad y precaución se trataría de un “modus operandi” de bajo riesgo, puesto que seleccionan el momento, el medio por el que lo cometen, y a las víctimas para favorecer sus intereses.
¿Cómo se identifican estos ataques?
El primer paso sería proteger la información corporativa, puesto que este tipo de estafas están basadas en técnicas de ingeniería social. Los ciberdelincuentes obtienen datos de la organización a través de las publicaciones que hacen en redes sociales y webs sobre reuniones, viajes, estructuras internas, horarios, sistemas comunes de pago, etc.
El segundo paso sería detectar si hay algún error en la dirección de email con respecto a la original. Suelen ser bastante parecidas por lo que, a simple vista, se puede pasar por alto. También podría ocurrir que hubieran hackeado la contraseña del email original para acceder desde él.
- En el contenido del mensaje solicitarán algo importante, como saldo de cuentas, movimientos de dinero y, siempre haciendo alusión a que se trata de un tema confidencial y de urgencia.
Ante este tipo de mensajes lo primero que se debe hacer es desconfiar. Lo mejor que se puede hacer es contrastar la información con los compañeros o directamente preguntarle al CEO de la empresa.
Para evitar que los empleados no obedezcan ciegamente a una orden, aunque parezca provenir de un directivo, se recomiendan políticas de contraseña seguras y autenticación de doble factor. De este modo, para cualquier transferencia de dinero que supere cierta cantidad debe ser verificado por más de una persona, y que no recaiga toda la responsabilidad sobre la misma.
Finalmente, es muy importante que las empresas conciencien y formen, en charlas informativas periódicas, a sus empleados para que sean capaces de detectar los intentos de fraude. Se deben explicar las nuevas amenazas a las que se exponen a diario, cómo actuar frente a ellas y, las posibles consecuencias que pueden tener en las empresas y en sus propias vidas.
CONOCIENDO A LIDIA CASTELL GARCÍA (AUTORA DE ESTE ARTÍCULO)
El creciente desarrollo y adaptación de nuestro día a día a las nuevas tecnologías ha provocado la aparición de nuevos delitos digitales. Ante estos nuevos ciberdelitos surge la necesidad de prevenirlos y detectarlos, por ello mi interés en especializarme en la seguridad informática.
Criminóloga resolutiva y entusiasmada por participar en políticas de prevención y asesoramiento de víctimas/personas. Amplios conocimientos en una ciencia multidisciplinar.
https://www.linkedin.com/in/lidia-castell-garc%C3%ADa-36a1a215b/
Referencias bibliográficas
Bayort, J. (24 de diciembre de 2019). Fraude del CEO, la última estafa que persigue a las grandes compañías. ABCdesevilla. Recuperado el 25 de junio de 2020 en https://sevilla.abc.es/economia/sevi-fraude-ulima-estafa-persigue-grandes-companias-201912240832_noticia.html?ref=https:%2F%2Fwww.google.es%2F
Castillo, C. (9 de febrero de 2020). “Soy tu director general y te necesito para una operación muy importante”: el timo digital que se extiende entre ejecutivos. Eldiario. Recuperado el 25 de junio de 2020 en https://www.eldiario.es/tecnologia/timo-CEO-director-general-fraude-estafa_0_992851392.html
- (18 de febrero de 2020). Cinco detenidos por estafar 120.000 euros a empresas de toda España, incluida Ciudad Real, con fraude del CEO. 20minutos. Recuperado el 25 de junio de 2020 en https://www.20minutos.es/noticia/4155350/0/cinco-detenidos-por-estafar-120-000-euros-a-empresas-de-toda-espana-incluida-ciudad-real-con-fraude-del-ceo/
Gómez, Ana. (21 de junio de 2019). ‘Fraude del CEO’: la estafa que llega a las empresas por correo electrónico. BBVA. Recuperado el 25 de junio de 2020 en https://www.bbva.com/es/fraude-al-ceo-la-estafa-que-llega-a-las-empresas-por-correo-electronico/
Gómez, Ana. (19 de octubre de 2019). ‘Fraude del CEO’: ¿qué es y cómo funciona? BBVA. Recuperado el 25 de junio de 2020 en https://www.bbva.com/es/fraude-al-ceo-como-funciona-y-como-prevenirlo/
Marques. (5 de mayo de 2019). Los ataques de phishing a los CEO de las empresas. Soluciones Tecnológicas para Empresas. Recuperado el 25 de junio de 2020 en https://marquesme.com/phishing/
Sánchez, Luis. (24 de junio de 2020). El Banco de España alerta sobre la estafa del CEO: Suplantar la identidad del director general no es tan complicado. CONFILEGAL. Recuperado el 25 de junio de 2020 en https://confilegal.com/20200624-el-banco-de-espana-alerta-sobre-la-estafa-del-ceo-suplantar-la-identidad-del-director-general-no-es-tan-complicado/
Springer, A. (22 de octubre de 2019). El fraude del CEO, un timo millonario silenciado por las propias empresas. ComputerHoy. Recuperado el 25 de junio de 2020 en https://computerhoy.com/patrocinado/tecnologia/fraude-ceo-timo-millonario-silenciado-propias-empresas-512407
