Te explicamos los riesgos y damos varios consejos para prevenir el fraude del CEO. Nuestro objetivo es prevenir y evitar que tanto tú como las personas de tu entorno os convirtáis en víctimas de este fraude, pudiendo afectar gravemente a vuestra organización.
Las Administraciones y empresas no son las únicas que esperan con expectación los fondos europeos para la recuperación tras la pandemia: los ciberdelincuentes también quieren sacar tajada de los apróximadamente 140.000 millones que la UE destinará a España. Un objetivo que pretenden conseguir a través de los contratos de licitación y utilizando una modalidad de estafa conocida como el fraude del CEO.
El fraude del CEO es cada vez más utilizado entre los cibercriminales a la hora de suplantar la identidad de los altos directivos de las empresas e instituciones. Si recibieses un email o una llamada de tu jefe, encomendándote realizar una transferencia de dinero urgente con el objetivo de cerrar la operación en la que lleva trabajando meses, ¿harías la transferencia o cuestionarías y desobedecerías las directrices de un alto directivo? Es por este motivo que el modus operandi del “fraude del CEO” es tan eficaz y supone un riesgo para cualquier empresa u organización.
En este artículo te damos las claves para entender cómo funciona y cuál su modus operandi para evitar que tanto tú como las personas de tu entorno os convirtáis en víctimas de este fraude, pudiendo afectar gravemente a vuestra organización.
¿Qué es el fraude del CEO?
El fraude del CEO es muy habitual entre los cibercriminales. Este fraude consiste en enviar un correo (o un SMS) a un empleado de alto rango de la empresa o institución, con capacidad para hacer transferencias o acceder a datos de cuentas bancarias, en el que se le pide ayuda para una operación financiera confidencial, importante y urgente. Para que el empleado muerda el anzuelo, los cibercriminales se hacen pasar por un jefe, ya sea su CEO, presidente o director de la empresa.
Si el empleado visualiza el correo desde el dispositivo móvil, no podrá corroborar a simple vista que la dirección de correo origen del correo es verdaderamente la correcta, a no ser que haga clic en el nombre del remitente. Esto hace que sea algo más difícil de detectar. De no darse cuenta del fraude, podría desvelar datos confidenciales como el saldo de la cuenta bancaria, al que seguiría una petición para que haga alguna transferencia urgente. De este modo, gracias a esta ingeniería social, los cibercriminales consiguen que el empleado se salte los protocolos de verificación, auditoría y control.
Los cibercriminales suelen aprovechar las oportunidades en las que el jefe no está presente o accesible. Por ejemplo, una reunión, vacaciones o un viaje, ya que son ocasiones clave para perpetrar este tipo de suplantaciones y que la víctima no pueda verificar su autenticidad.
Existen otros casos más complejos en los que los cibercriminales previamente espían mediante un malware, los emails del jefe para imitar su estilo de escritura, e incluso le pueden llegar a investigar en sus redes sociales mediante técnicas de investigación online.
En los ciberataques más elaborados los cibercriminales pueden llegar a robar las credenciales de acceso del jefe a su cuenta de correo electrónico para enviar el mensaje desde la misma cuenta, lo cual dificulta mucho la detección del Fraude del CEO.
Otros modus operandi que pueden ser utilizados como complemento o variedad del Fraude del CEO son:
Modus operandi del fraude del CEO
Para que la víctima pique en el fraude del CEO, los cibercriminales se encargan de fomentar un entorno de confianza, utilizando la información publicada en Internet. De esta manera, consiguen que cualquier tema que se trate en los emails pueda ser verosímil y viable. Con el paso del tiempo, la puesta en escena varía, pero el modus operandi del fraude del CEO se mantiene y consiste en cuatro fases fundamentales:
FASE 1: LA SELECCIÓN DE LA VÍCTIMA
Cada día se pueden observar en los sitios web corporativos y las redes sociales de los empleados la publicación de información relativa a eventos, actos, conferencias, viajes, etc. Estas publicaciones, cuyo objetivo es publicitar a la empresa, pueden ser una gran oportunidad para los cibercriminales a la hora de identificar cuándo un alto responsable va a estar ilocalizableo sin acceso al ordenador o el teléfono.
Una vez se identifica la persona a la que se quiere suplantar, los cibercriminales investigan todo en relación con la empresa: su sector, su red de contactos, los colaboradores, las transacciones habituales, noticias de una posible fusión o si el responsable ha asistido a un evento de representación en el que se pueda llevar a cabo alguna compra importante. De esta manera, los escenarios más utilizados por los cibercriminales para ganarse la confianza del empleado son:
- Un falso directivo envía un mensaje a un empleado con acceso a las cuentas para ordenar una transferencia urgente a números de cuenta no comunes. Los cibercriminales saben con quién contactar debido a la huella digital del empleado, es decir, la información pública (o información privada pero accesible) disponible en Internet.
- Una empresa falsa o suplantada, encargada de la compraventa y fusión de empresas, envía un mensaje al empleado reclamando su colaboración en la operación a través de la realización de una transferencia. Los cibercriminales se excusan en que el CEO, no localizable en ese momento, debería haberle informado previamente.
FASE 2: MANIPULAR AL EMPLEADO
En esta fase del fraude entra en juego la ingeniería social. Una vez que la coartada está preparada, los cibercriminales se encargan de llamar, enviar un SMS (técnica conocida como el Smishing) o enviar un correo al empleado con permisos para realizar transferencias o acceder a información confidencial. El correo suele ser enviado desde un dominio muy similar al original (quizás falta o sobra una letra) y se suele omitir la firma o se firma con una muy parecida a la del jefe.
La estructura del correo electrónico más habitual suele ser:
- Breve introducción indicando el asunto confidencial y urgente.
- Un contenido solicitando información confidencial o la realización de una transferencia de elevada cuantía a un número de cuenta no común.
- Un final recordando la relevancia de la confidencialidad y la urgencia de la operación.
En algunas ocasiones más elaboradas existe una progresividad en las peticiones para que el empleado no sospeche. Por tanto no tiene porqué ser un único correo y puede ir acompañado o precedido de:
- Llamadas o correos previos para confirmar que el empleado estará disponible en el momento en que se envíe el correo electrónico.
- Documentos adjuntos que simulan un acuerdo de confidencialidad.
- Detalles específicos de los procesos y transacciones abiertas en la empresa que le resulten habituales al empleado para generar confianza.
FASE 3: LA PERCEPCIÓN Y REACCIÓN DEL EMPLEADO
Es probable que la reacción del empleado sea llevar a cabo lo que se le solicita sin dudar, ya que debido al carácter urgente del mensaje, no se pasa a comprobar la dirección origen del correo, la estructura del correo o si la petición es habitual de la empresa.
Es posible que los cibercriminales hayan aportado durante meses datos suficientes para generar confianza. Además, al repetir varias veces en el mensaje que la operación es confidencial, los empleados no tienden a compartirla con los compañeros por miedo a fallar al jefe y a las posibles represalias o falta de confianza.
FASE 4: EL IMPACTO
Los números de cuenta que usan los cibercriminales suelen proceder de terceros países, entre los cuales destacan cuentas en China, África o paraísos fiscales con unas políticas económicas diferentes a las europeas.
Una legislación diferente, unida a las diferencias horarias y de idioma, convierte las cancelaciones de transferencias o el rastreo del dinero en misión imposible.
9 consejos preventivos contra el fraude del CEO
El fraude del CEO es cada vez más empleado por los cibercriminales debido a su rentabilidad y relativa sencillez a la hora de engañar a las víctimas. No obstante, también es relativamente sencillo para las empresas protegerse de él.
Si se forma debidamente a los empleados en materia de Concienciación en Ciberseguridad e integran todos o algunos de los siguientes consejos en la cultura de la empresa puede ayudar a prevenir y evitar ser víctimas del fraude del CEO:
- Crear un protocolo paso a paso cómo realizar los procesos de pago en la empresa.
- Establecer una doble aprobación de transacciones de elevada cuantía o no habitualesen la empresa (que dos personas diferentes deban dar la aprobación es la mejor medida).
- Realizar las dobles aprobaciones por varios canales de comunicación: correo electrónico y llamada telefónica, por ejemplo.
- Instalar herramientas de escaneo de correos electrónicos para detectar y bloquear correos electrónicos fraudulentos, avisando automáticamente en el asunto cuando el correo viene de fuera de la organización.
- Evaluar la desactivación del visor html de las cuentas críticas de correo electrónicopara poder ver los enlaces y las direcciones de correo originales.
- Formar a los empleados para que conozcan a la perfección los modus operandi habituales así como los procedimientos referentes a su puesto de trabajo. El empleado siempre es y será el eslabón más débil en ciberseguridad.
- Concienciar a los empleados para que no se salten ningún procedimiento por presión, e incluso premiarles por ello.
- Fomentar una cultura de transparencia.
- No enviar en ningún caso información confidencial crítica por correo electrónico o por otros canales online.