El fraude del CEO: cuando los más preparados también caen…
Personas y empresas estamos inmersos en una sociedad que sufre una transformación digital exponencial e implica la aparición continua de nuevas y grandes oportunidades, pero también de nuevos riesgos y fraudes.
En esta vorágine tecnológica, hemos de ser conscientes que muchos de los fraudes que sufrimos por internet no dejan de ser adaptaciones de las estafas clásicas del mundo físico. Parece mentira, pero los timos más rentables, según datos actuales de la Policía y Guardia Civil, siguen siendo los más simples: el inspector del gas, el tocomocho, la estampita, etc. Ahora también son llamados de tipo “Low-Tech”.
En Internet viene a pasar algo similar, las estafas que atacan directamente al comportamiento de las personas son de las más productivas para los ciberdelincuentes. Este es el caso de lo que denominamos el fraude del CEO (Chief Executive Officer) o también conocido por otros nombres tan significativos como “Whaling” (Whale-Phising: pesca del pez gordo) o lo que en términos técnicos catalogamos como BEC (Business Email Compromise).
El impacto que tiene este tipo de fraude en la sociedad es más alto de lo que imaginamos y los datos que aportan los diferentes organismos internacionales que vigilan el cibercrimen son aterradores.
El FBI en su sección IC3 (Internet Crime Complaint Center) estima un fraude de 12.500 millones de dólares en los últimos 5 años, con 78.000 casos identificados. Europol y la Unidad de Inteligencia Financiera Americana FinCEN mencionan cifras de 300 millones de dólares como media de fraude al mes durante 2018.
Aunque no existen datos consolidados a nivel español, solamente bastan dos hechos recientes que nos deben poner bajo alerta. El fraude a la Empresa Municipal de Transporte EMT de Valencia, de 4 millones de euros durante septiembre de 2019 y la detención por parte de la Guardia Civil en la operación Lavanco de 3 residentes en España por estafar mediante el fraude del CEO un total de 10 millones de euros a 12 empresas en 10 países extranjeros.
Lo más llamativo de esta estafa es que va dirigida a empresas de todo tipo y sector. Además los empleados que caen en el fraude pueden ser grandes profesionales en su puesto, concienciados y despiertos, pero el arte de engañar de los cibercriminales es superior.
La acción de los “cibermalos” se centra en estafar a empleados para que realicen pagos fraudulentos a una tercera parte no autorizada, pensando que quien se lo ordena con urgencia y confidencialidad es uno de sus superiores jerárquicos, al que han suplantado previamente.
En una primera fase, los cibercriminales estudian a fondo la empresa y a sus directivos, como el CEO o el CFO, hasta obtener cuentas de correo electrónico válidas y otros importantes datos de la organización. Explotan la inmensa información personal y empresarial que todos dejamos en las redes sociales (Ingeniería Social).
En la tercera fase del fraude del CEO se utilizan técnicas de presión por urgencia, confidencialidad, simulando confianza entre emisor y remitente
En la segunda fase, utilizando la información conseguida se envían correos electrónicos falsos con instrucciones para realizar transferencias o envío de información confidencial a cuentas fraudulentas.
En la tercera fase, para que el empleado ejecute la transacción a la cuenta de los ciberdelincuentes, utilizan técnicas de presión por urgencia, confidencialidad, simulando confianza entre emisor y remitente. Una vez realizada la transferencia, hacen desaparecer dicho dinero inmediatamente.
Este procedimiento de actuación tiene múltiples variantes, pero lo importante es conocer y concienciar a todos los empleados sobre la existencia de esta estafa y cómo prevenirla y detectarla. Una de las mejores maneras de protegerse dentro de una organización es, por tanto, poner en marcha planes de concienciación o persuasión, basados principalmente en:
Sospechar siempre de correos con asuntos muy utilizados por este tipo de fraude, como “Important”, “Confidential” o “Notification of payment received”.
Observar muy bien las direcciones origen de los correos sospechosos.
Implantar procedimientos de doble verificación en la empresa entre personas y sistemas de doble factor de autenticación.
Utilizar sistemas de gestión de la identidad y de firma electrónica para autenticación fuerte de los usuarios.
Realizar planes de concienciación y persuasión continuos en la organización.
Disponer de servicios avanzados de prevención y detección temprana.
Diseñar y entrenar procedimientos de respuesta ante incidentes y planes de resiliencia.
El futuro que nos espera con el fraude del CEO es complejo y peligroso. El mal ha existido siempre y existirá. El “cibermal” además está potenciado por una sociedad global con un ritmo frenético. Sin embargo el conocimiento, la formación e información puede ser nuestro salvavidas. La persona, que es el eslabón más débil de la ciberseguridad, es, a su vez, la defensa más fuerte contra los ciberataques que nos depara el futuro. Personas con principios y empresas especializadas en este ámbito, siempre estaremos aquí para defender a nuestra sociedad, adaptándonos al ritmo de los tiempos.
Por Javier Jarauta, Director de consultoría de SIA.