A día de hoy, la ciberdelincuencia es un hecho. Tanto es así,que las empresas se enfrentan todos los días a fraudes, estrategias de phishing…
Sin embargo, en los últimos meses se está llevando a cabo una técnica en concreto que está provocando grandes pérdidas económicas. Hablamos del “fraude del CEO”, un ataque que utiliza ingeniería social para conseguir sus objetivos.
Te contamos qué es, cómo ha llegado a España y cómo poder evitar este fraude en tu empresa:
¿Qué es el fraude del CEO?
El fraude del CEO o también conocido por sus siglas en inglés Business Email Compromise (BEC), es un ataque cibernético en el que el delincuente se hace pasar por un directivo o alto ejecutivo de una organización o empresa para enviar un correo engañando a un empleado. La idea es que dicho trabajador realice una transferencia no autorizada o envíe información confidencial.
Este tipo de fraudes es de los más perjudiciales económicamente hablando. Se puede dar de dos formas distintas:
- Mediante la falsificación de un correo electrónico
- Interceptando una cadena de correos electrónicos de índole privado
El modus operandi de los ciberdelincuentes es bastante sencillo. Suelen enviar un correo a un empleado que previamente ha sido objeto de estudio. En la mayoría de casos, escogen a personas que tienen capacidad para transferir dinero en la empresa.
Normalmente, atacan cuando el directivo se encuentra fuera de la empresa físicamente o en otro país para pedirlo con urgencia y confidencialidad, lo que ata en corto la posibilidad del empleado de informarse antes de la transacción.
El atacante, que manda un correo mediante ingeniería social, estudia al sujeto ya sea a través de redes sociales o en persona. Dos de las cosas en las que más se suelen fijar es tanto en su comportamiento como en el lenguaje al que se dirige al directivo.
Sin embargo, no es solo el director general o el alto ejecutivo el que se encuentra en el punto de mira. Hay departamentos que también son escogidos para estos ataques como por ejemplo el de recursos humanos, el equipo informático o financiero y el de dirección.
El fraude del CEO ya en España, ¿cómo se ha desarrollado?
Este tipo de fraudes es de las formas más sencillas de ciberatacar a una empresa. De ahí que esté cogiendo popularidad. Además, muchos delincuentes ya tienen esta actividad ilícita como su principal fuente de financiación.
En España, los casos más sonados son los tres jóvenes detenidos en la “Operación Tarbes” en Valencia y un hombre de 58 años también detenido, en Murcia.
“Operación Tarbes”
La localidad de Sagunt y las empresas que allí realizan su actividad han sido las primeras en España en sufrir el fraude del CEO. La Guardia Civil detuvo a finales de 2021 a 3 jóvenes de 20, 22 y 23 años, tras piratear e interceptar los correos electrónicos de ciertas empresas.
La forma de actuar de esta organización criminal era interceptar las facturas, cambiarles el número de cuenta a la suya propia y mandarla a los clientes. De esta forma, llegaron a obtener cerca de 100.000€.
A estos tres individuos se les atribuyó un delito de estafa, falsedad documental, blanqueo de capitales y pertenencia a una organización criminal, según el Instituto Armado.
El estafador en Murcia que se llevó 300.000€
Otro de los casos más sonados a nivel nacional sobre este tipo de fraudes es el del hombre de 58 años procedente de Murcia. El atacante esperaba a hakear los correos de las empresas, averiguando todos los datos personales y los bancarios para cambiarlos al suyo personal. Falsificaba así, tanto la identidad como el correo y la cuenta bancaria. Posteriormente, mandaba la factura a los proveedores.
El ahora arrestado, pudo conseguir unos 300.000€ de 3 estafas distintas.
4 formas de evitar estos ataques cibernéticos
Estos ataques no aseguran al delincuente que pueda conseguir sus objetivos económicos. Esto se debe a que el empleado se puede dar cuenta de que está siendo engañado. Para que los trabajadores no caigan en la trampa, las empresas deben asegurarse de enseñarlos a cómo actuar. Las 4 formas de evitar estos ataques:
- Lo mejor es realizar cursos, concienciar y educar a los empleados para que reconozcan cuándo se trata de un fraude y cuándo no.
- Siempre hay que comprobar el remitente del correo. Nunca suele coincidir con el suplantado.
- Es importante que todos los ordenadores de una oficina estén actualizados y regidos por el mismo software.
- Las cuentas financieras deben estar supervisadas siempre y apuntar cuando haya algún movimiento inusual.
Con el tiempo, estos fraudes han ido evolucionando. Por eso, lo mejor para hacerles frente son los propios empleados.
¿Qué papel desempeña el perito financiero en estos casos?
- Analiza si el banco en cuestión cumplió el régimen de autorizaciones y la diligencia exigible como entidad financiera.
- Análisis de la operativa bancaria habitual del afectado. Se compara con la operativa seguida en las transferencias objeto de estudio. Este punto es fundamental para determinar si fue la operativa habitual o no
