Estás trabajando, atendiendo tus asuntos en tu batalla diaria de correos electrónicos interminables y revisando todo lo que deberías haber terminado ayer. De repente, un mensaje urgente de tu jefe llega a tu bandeja de entrada y te pide que transfieras 8.000 dólares a una determinada cuenta bancaria de inmediato. No es del todo inusual: el remitente es el mismísimo CEO, esto forma parte de tus tareas y se dirigió a ti con tu apodo.
No te queda más que suspirar y resignarte a cumplir otra tarea que seguirá posponiendo todos los otros trabajos urgentes que tienes pendientes, así que mejor poner manos a la obra. Pero espera... ¿has verificado que realmente sea él?
Este podría ser un ejemplo de lo que se denomina fraude del CEO, una forma moderna de engaño diseñada especialmente para llevarte a hacer algo creyendo que tienes el permiso para hacerlo, cuando en verdad el CEO no dio ninguna orden. Una vez que se hace la transferencia con éxito, el dinero se filtra a otras cuentas y la original se cierra, haciendo muy difícil (y en la mayoría de los casos prácticamente imposible) rastrearlo y recuperarlo.
Con tantas instancias de robo de datos, mucha de la información de los usuarios ya está disponible en la nube. Si bien las implicancias de que correos electrónicos o mensajes personales caigan en las manos equivocadas no siempre son tangibles, esto podría mostrarle a un cibercriminal cómo te comunicas con otros. De seguro hablas con un determinado estilo en tus correos; ya sea amigable, formal, cortante o coqueto, forma una huella digital de tus comunicaciones diarias que podría ser emulada en un próximo ataque dirigido.
¿Qué puedes hacer para asegurarte de que no serás víctima de esta trampa?
Podrías implementar procedimientos para asegurarte de que cualquier transferencia de dinero se respalda por al menos dos personas autorizadas. Puede parecer engorroso, pero como todas las medidas preventivas (como backup y antivirus) te podría ahorrar miles de dólares.
Asegúrate de revisar con atención la dirección del remitente y el contenido, así como posibles errores ortográficos; también sería una buena idea hacer un llamado telefónico para corroborar la orden o tener una pregunta con respuesta secreta para validar estos pedidos, a modo de contraseña.
Ten en cuenta que usar el correo electrónico para hacer estas validaciones no será lo ideal, porque si la cuenta de tu jefe fue comprometida para enviarte ese mensaje, el cibercriminal seguirá estando del otro lado. Dudo que a algún gerente le moleste que seas cuidadoso con su dinero; después de todo, solo estás haciendo tu trabajo.
Por otro lado, si algo como esto ha sucedido, no lo ignores: asegúrate de avisarle a alguien. El administrador de la red deberá estar al tanto para hacer las evaluaciones pertinentes y verificar que no haya un compromiso a gran escala; comunícaselo también al CEO, ya que podría desencadenarle un recordatorio de alguna circunstancia sospechosa en la que se logró el acceso a su cuenta, y toda esta información será valiosa para atacar el problema. Además, es importante contactar a la policía o las autoridades locales para comenzar una investigación.
Al mismo tiempo, alertar sobre lo sucedido ayudará a que se generen procedimientos que eviten la repetición de incidentes como el fraude del CEO.
Este y otros temas de seguridad relevantes para la protección de las empresas serán tratados en el Gartner Security & Risk Management Summit en Londres, Reino Unido, el 12 y 13 de septiembre próximos. Puedes encontrar más información sobre la participación de ESET en el evento en nuestra página especial; entre los asistentes, estarán el jefe de investigación de ESET Juraj Malcho y Palo Balaj, jefe de desarrollo de negocios para EMEA.