Imagina que estás en la oficina, son las 4:15 pm, falta poco para que termines tu jornada laboral y recibes un mensaje del vicepresidente de finanzas de tu empresa que dice que hay que realizar una transferencia de forma urgente para cerrar un acuerdo con un socio importante. Además, que la misma deberá realizarse al final del día. ¿Cómo respondes? Probablemente se trate de un engaño conocido como “Fraude del CEO”; un tipo de estafa muy específica que está creciendo en popularidad y a un ritmo alarmante. A continuación, explicamos de qué se trata y cómo las organizaciones pueden evitar ser víctimas de este tipo de ataque.

¿Qué es el fraude del CEO?

El fraude del CEO es una forma de ataque de spearphishing que apunta a los miembros del equipo financiero o contable de una compañía. En este sentido, mientras que en un ataque de whaling los ciberdelincuentes apuntan a la alta gerencia, en el caso del fraude del CEO los criminales intentan hacerse pasar por ejecutivos para convencer a los destinatarios del correo electrónico de la necesidad de realizar una transferencia de dinero de forma urgente para una operación supuestamente crítica para la organización. Sin embargo, el dinero se transfiere a una cuenta que está bajo el control de los atacantes.

Al leer estas líneas puede que usted piense que nunca caería en este tipo de estafa. Después de todo, conoce bien a sus superiores y reconocería fácilmente sus direcciones de correo electrónico o números de teléfono. Sin embargo, el FBI estima que, entre 2016 y 2019, se generaron pérdidas por aproximadamente 26 mil millones de dólares a través de ataques conocidos como BEC (del inglés, Business Email Compromise).

En 2018, la tesorera de la ciudad canadiense de Ottawa, Marian Simulik, fue víctima de este tipo de fraude y envió más $100,000 dólares canadienses a los estafadores tras recibir un correo electrónico fraudulento. Unos días después, recibió otro correo electrónico fraudulento pidiéndole que transfiriera otros 150,000. Afortunadamente, Simulik recibió el segundo correo mientras estaba en la misma habitación que el administrador de la ciudad Steve Kanellakos, que era la persona por la que se hacían pasar los estafadores. Ella le preguntó si la solicitud era legítima y esto hizo que se dieran cuenta del engaño.

Quizás te interese: Utilizan AI para imitar la voz del CEO de una compañía y robar 220 mil euros

Para convencer a sus víctimas, los estafadores usan varios esquemas. Al igual que en otras estafas, los delincuentes hacen uso de la ingeniería social. Transmiten sensación de urgencia para incitar al empleado a que actúe rápidamente y haciendo la menor cantidad de preguntas posible. Además, hacer uso de la identidad de un ejecutivo para dirigirse a un empleado en particular y hacer una solicitud esencial y urgente puede generar un sentimiento de orgullo en el empleado. ¿Quién quiere correr el riesgo de decepcionar a un ejecutivo que confía en nosotros?

Los delincuentes también realizan un trabajo previo para robar la identidad requerida. Encontrar los nombres de los altos ejecutivos de la compañía generalmente requiere realizar una simple búsqueda en Internet, probablemente en el propio sitio web de la compañía. El robo de nombres agrega credibilidad al intento, ya sea en un correo o una llamada telefónica.

Quizás te interese: Ingeniería social telefónica: organizaciones evidencian cuán vulnerables son

El siguiente paso consiste en imitar o falsificar la dirección de correo electrónico. El método más fácil es crear una dirección de correo electrónico falsa que se parezca a la legítima. Por ejemplo, janet.brown.ceo@yourbusiness.com podría convertirse en janet.brown.ceo@youbusiness.com (observe la diferencia en el nombre del dominio del correo, ya que en la segunda dirección falta la letra 'r' en 'your'). También pueden hacer uso de lo que se conoce como suplantación de cuentas de correo mediante spoofing. En este caso, la dirección del remitente aparecería en el mensaje como janet.brown.ceo@yourbusiness.com. En ambos casos, hacer clic en 'Responder' enviaría el correo electrónico directamente al estafador, en lugar del destinatario legítimo.

Cómo proteger a su organización del fraude del CEO

El primer paso que puede tomar una organización para protegerse de este tipo de fraude es crear un protocolo de transacciones financieras que sea claro y sólido. Por ejemplo, establecer una regla para realizar cualquier transferencia que exija la aprobación de al menos dos personas autorizadas. También se pueden implementar reglas sobre los tipos de transferencias.

La educación y capacitación en temas vinculados a la seguridad también son grandes aliados de las organizaciones. Dado que este tipo de fraude se dirige a departamentos corporativos específicos, se debe hacer hincapié en los miembros de estos equipos, particularmente con respecto a los protocolos establecidos y los medios para detectar estas estafas. Las medidas básicas para reconocer un phishing son igualmente válidas para este tipo de fraudes: no sucumbir a la presión y a un sentido de urgencia, verificar cuidadosamente detalles como nombres, direcciones de la fuente y firmas.

Recomendar a los empleados no responder un correo de apariencia sospechosa, sino intentar comunicarse telefónicamente utilizando el número del sitio oficial, en lugar del que figura en la firma del mensaje, también puede evitar daños. En el ejemplo anterior, tras realizar una breve llamada telefónica la Sra. Brown pudo confirmar que fue un intento de fraude.

Ya sean las 9:10 a.m. o las 4:15 p.m., no hay malos momentos para recordar a todo el equipo las medidas de prevención del fraude y tampoco hay malos momentos para implementarlas. Como dice el refrán, “una onza de prevención vale más que una libra de cura”.