Imagina que eres el Responsable de Administración de una empresa, estás en la oficina, son las 18:15 de la tarde, falta poco para que termines tu jornada laboral y recibes una comunicación por correo o por teléfono del CEO de tu empresa que dice que hay que realizar una transferencia de forma urgente para cerrar un acuerdo importante sin estar él presente. Además, que la misma deberá realizarse al final del día. ¿Cómo respondes? Es probable que se trate de un engaño conocido como “Fraude del CEO”; un tipo de estafa muy específica que está creciendo a un alto ritmo.

A diferencia de otro tipo de ciberdelitos de suplantación de identidad, como el phishing, con un caracter masivo y dirigido a cualquier tipo de persona sea particular o empresa, el «fraude del CEO» es un ataque de spearphishing que apunta a los miembros del equipo financiero o contable de una compañía. Los criminales intentan hacerse pasar por ejecutivos para convencer a los destinatarios del correo electrónico de la necesidad de realizar una transferencia de dinero de forma urgente para una operación supuestamente crítica para la compañía. Sin embargo, el dinero se transfiere a una cuenta que está bajo el control de los atacantes.

Es un ataque personalizado y diseñado específicamente para una víctima concreta sobre la que se ha recopilado una cantidad de información previa para que la escena sea más creíble. Es cierto que el fraude requiere de un proceso mucho más elaborado y dirigido, pero el botín que pueden conseguir los ciberdelincuentes también acostumbra a ser mucho mayor que los que se obtienen de usuarios privados.

¿Cómo funciona este tipo de fraude?

Los ciberdelincuentes seleccionan a dos objetivos de una empresa concreta: un reclamo, que normalmente será un alto directivo o el propio CEO de la empresa; y un empleado ejecutor, habitualmente un miembro del departamento  de administración y finanzas de la empresa, entre cuyas obligaciones se encuentre la posibilidad de realizar movimientos de dinero.

Una vez fijados estos dos objetivos, los ciberdelincuentes recopilan información pública sobre la empresa, e incluso llegan a realizar ataques menores con malware para obtener información que les pueda servir para montar el escenario perfecto para hacerse pasar por el directivo o CEO llegado el momento.

Para convencer a sus víctimas, los estafadores usan varios métodos. Al igual que en otras estafas, los delincuentes hacen uso de la ingeniería social. Transmiten sensación de urgencia para incitar al empleado a que actúe rápidamente y haciendo la menor cantidad de preguntas posible. Además, hacer uso de la identidad de un ejecutivo para dirigirse a un empleado en particular y hacer una solicitud esencial y urgente puede generar un sentimiento de orgullo en el empleado. ¿Quién querría decepcionar a un ejecutivo que confía en nosotros?

El siguiente paso consiste en imitar o falsificar la dirección de correo electrónico. El método más fácil es crear una dirección de correo electrónico falsa que se parezca a la legítima. Por ejemplo, maria.garcia.ceo@tuempresa.com podría convertirse en maria.garcia@tuempesa.com (observe la diferencia en el nombre del dominio del correo, ya que en la segunda dirección falta la letra ‘r’ en ‘tuempresa’). También pueden hacer uso de lo que se conoce como suplantación de cuentas de correo mediante spoofing. En este caso, la dirección del remitente aparecería en el mensaje como maria.garcia.ceo@tuempresa.com. En ambos casos, al hacer clic en ‘Responder’ enviaría el correo electrónico directamente al estafador, en lugar del destinatario legítimo.

En esta comunicación se imita el estilo y la forma de expresarse que el CEO acostumbra a utilizar en sus correos, se vigilan sus movimientos y se investiga en qué se encuentra trabajando en esos momentos y aprovechan unas vacaciones, un viaje o cualquier otra situación poco habitual en la que el CEO se encuentre menos localizable para que dicha situación pueda entorpecer la comprobación de la transacción.

En ese correo o llamada simulada por inteligencia artificial, los ciberdelincuentes suplantan la identidad del ejecutivo para solicitar la transferencia de una importante suma de dinero a un proveedor con la excusa de cerrar la operación que estaba en marcha, o cualquier otro motivo perfectamente realista ya que probablemente sea en lo que está trabajando el CEO en ese momento. El empleado autoriza la operación, y el dinero es transferido a la cuenta del ciberdelincuente y se pierde inmediatamente sin dejar rastro tras pasar por un entramado de cuentas secundarias.

¿Cómo debemos protegernos de este tipo de fraude?

Si seguimos una serie de pasos y confiamos en la gestión de la empresa, tendremos más posibilidades de protegernos frente al fraude del CEO. Desde el Instituto Nacional de Ciberseguridad (INCIBE) señalan que este tipo de fraudes están basados en técnicas de ingeniería social por lo que la mejor forma de evitarlos es concienciar  y formar a los empleados para que los reconozcan y los eliminen. Revisa de arriba a abajo los procedimientos de seguridad vigentes para pagos y compras, y atiende todas las directrices de tu compañía, que te informará con responsabilidad y confianza para que encuentres protección frente a la labor de los ciberdelincuentes.

Si eres un empresario y  te encuentras en esta situación, lo primero que debes hacer es actuar con precaución y avisar a la policía. Tu empresa cuenta con procedimientos de seguridad y protocolos que debes seguir, pero no siempre podemos estar alerta ante este tipo de amenazas.