El Fraude al CEO, uno de los ciberdelitos más utilizados para estafar a empresas
No es ningún secreto que las estafas y fraudes en internet están muy presentes en nuestros días. Pero, ¿Qué sucede cuando esta estafa podría provenir desde tu propia empresa?, ¿Y si es tu propio jefe el que está involucrado en este delito? ¿Incluso recibiendo una llamada de tu propio jefe?
Josue López
En los últimos días hemos conocido como la Policía Nacional daba a conocer dos nuevos casos en España de ciberdelincuentes que a través de este ciberdelito habían sustraído varios centenares de miles de euros a diversas empresas.
Conocido como Fraude al o del CEO, entremos en detalle, del ‘modus operandi’ de este tipo de ciberdelito:
Este fraude tiene como objetivo suplantar de identidad del CEO o director de la compañía, o en su defecto, alguien que tenga poder de decisión sobre el dinero.
Estos ciberdelincuentes han analizado y estudiado previamente la operativa y organización al milímetro, las personas que están involucradas en las operaciones del día a día, quienes son sus clientes, sus proveedores, e incluso las redes sociales de la compañía y de sus propios empleados. Toda información es útil para elaborar un plan de mayor veracidad en el mensaje que será origen de este fraude.
Pongámonos en situación;
- Un grupo de ciberdelincuentes hace objetivo tu compañía, y durante semanas o meses, se dedican a analizar todas tus operaciones. Se hacen pasar por clientes, proveedor o similar para poder llegar a conocer quiénes son las personas de responsabilidad económico de la compañía.
- Con las personas de responsabilidad identificadas y las operaciones de la empresa monitorizadas llega el momento de orquestar la ‘gran estafa’.
- El grupo de ciberdelincuentes escogerán un momento en el que el CEO se encuentre en una situación en la que no sea fácil contactarle, bien porque esté de viaje, vacaciones, enfermedad…
- Determinado el momento exacto de la estafa, los ciberdelincuentes suplantarán la identidad de la persona con el objetivo de hacerse con el dinero.
- Dependiendo de la información obtenida y de la estrategia que hayan definido dan lugar a diferentes tácticas, por ejemplo, Reenviando una conversación alterada, empezando el asunto por “Re:” o “Fwd:” e incluyendo una conversación falsa en el cuerpo del email donde se habla de una operación y una cantidad de dinero en la que se ha dado el visto bueno por parte de las personas de responsabilidad de la empresa, existen documentos aparentemente legítimos en los que incluso pueden aparecer firmas y sellos de la compañía.
- Es en este momento donde tras ver toda esta información, la persona de finanzas, es víctima de la estafa y realiza el pago.
Este tipo de fraude es aplicable a empresas de cualquier tamaño, desde una Pyme hasta grandes empresas como EMT Valencia en el que se registró un fraude de más de 4 Millones de euros.
Especialmente las Pymes son el mayor foco de estos ciberataques por el hecho de tener la capacidad de mover flujos de dinero y por un previsible menor gasto en inversión de medidas de protección y securización de la información corporativa. Son convertidos en el blanco más susceptible de ser víctima de este tipo de estafa.
Es importante conocer que este tipo de fraude es fácilmente evitable, siguiendo unos protocolos de concienciación a empleados (Cyber Awarness). Como medidas adicionales, podemos aplicar medidas de ‘Prevención de Amenazas de Correo Electrónico’ (ETP) y definir políticas de seguridad y compliance en todos los ámbitos de su empresa.