Fraude del CEO: Así consiguen estafar millones a empresas de todo el mundo

Es lunes por la mañana y vuelves a la oficina aun con el recuerdo del fin de semana, dispuesto a afrontar una nueva semana de trabajo y empezando por tu rutina diaria revisando el correo. En principio no hay nada fuera de lo normal pero, tras un primer vistazo rápido detectas un correo electrónico que destaca entre los de clientes y proveedores. El remitente te suena de inmediato puesto que es uno de los directivos de la empresa y, aunque crees recordar que estaba de viaje de negocios o vacaciones en algún recóndito lugar, sabes que ese email debes abrirlo lo antes posible.

Así podría empezar un caso típico de la conocida como “Estafa del CEO”, parecida a otros casos de suplantación de identidad o phishing pero que puede llegar a niveles muy altos de elaboración para conseguir su objetivo. A diferencia de otros casos más comunes, los delincuentes saben perfectamente a quien deben dirigir sus correos y a quien, cuando y como deben suplantar.

Su modus operandi suele tener ciertas características comunes y suelen pasar por el envío de un email con carácter de urgencia solicitando algún tipo de transferencia bancaria. La orden suele venir de un alto cargo de la empresa y está dirigida a personal con capacidad de realizar operaciones financieras. La finalidad de los delincuentes está clara, conseguir engañar a su víctima para que realice una o varias transferencias de una elevada cuantía a una cuenta bancaria controlada por ellos. Para cuando la víctima se de cuenta del engaño ya será demasiado tarde y difícilmente podrá recuperar su dinero.

Preparando el ataque

Pero para llegar a este punto existe una fase previa en la que los delincuentes se dedican a recopilar información de sus víctimas de forma exhaustiva. Contrariamente a lo que algunos piensan, estas estafas no se realizan simplemente enviando un email y esperando a que la víctima realce el ingreso sin más. Los atacantes suelen dedicar bastante tiempo en una fase en la que se recopila información relevante sobre la persona a la que se va a suplantar y a su víctima.

Datos como el cargo de cada uno y su relación dentro de la empresa, horarios, número de teléfono, direcciones de correo, firmas, características únicas a la hora de escribir un correo o realizar una llamada, hábitos de vida, rutinas, periodos vacacionales y otros son un material muy valioso a la hora de preparar una estafa de este tipo.

Mucha de esta información se recopila de forma “artesanal”, enviando correos haciéndose pasar por proveedores o clientes de la empresa objetivo, revisando los datos presentes en la red y a los que se puede acceder gracias a las fuentes abiertas y mediante técnicas de OSINT. En algunos casos en concreto se puede llegar a utilizar malware para conocer mejor la estructura interna de la empresa y obtener la información necesaria más rápidamente aunque no es algo demasiado habitual ya que, en caso de descubrirse, podría poner en alerta a la víctima.

Una vez se ha recopilado toda la información necesaria es cuando estamos ante el escenario que se comentaba al principio de este artículo. Un empleado con autorización para realizar transferencias bancarias recibe un correo de un superior que le pide con urgencia el envío de dinero a una cuenta para poder realizar una determinada operación. En este punto se suelen cumplir ciertos puntos como son que el directivo no se encuentre en la oficina o fácilmente accesible para poder confirmar esta petición, la imitación del estilo de redacción de emails del directivo o la necesidad de mantener de forma confidencial esta operación.

Dinero desaparecido y responsabilidades

Si el empleado obedece ciegamente las órdenes recibidas, la transferencia se realizará y ese dinero difícilmente se podrá recuperar. Es probable que hasta pasado un tiempo no se den cuenta de que han sido víctima de una estafa, probablemente hasta que el directivo vuelva a su puesto de trabajo o se consiga contactar con él para comentarle los detalles de esta operación. Para entonces los delincuentes ya tendrá el dinero en su poder y lo habrán movido por varias cuentas secundarias para dificultar su detección y recuperación.

En ese momento es probable que se entre en pánico y se decida depurar responsabilidades y tratar de recuperar la cantidad estafada, o al menos parte de ella. Lo lógico sería que la empresa denunciase el caso ante las autoridades pero muchas no lo hacen debido a la vergüenza y daño reputacional que esto podría ocasionar. Además, casi siempre se deja caer toda la responsabilidad del incidente sobre la persona que recibió las instrucciones de realizar transferencia cuando, supuestamente, ella solo estaba cumpliendo órdenes, aunque se debe analizar cada caso por separado para ver si se obviaron algunas a las recomendaciones y protocolos de seguridad que se aplican en este tipo de operaciones.

Además, hemos de tener en cuenta de que el ejemplo que hemos descrito no es el único utilizado por los delincuentes ya que existen otras variantes. Una de ellas consiste en suplantar la identidad de un proveedor y remitiendo una factura idéntica a las utilizadas en pagos anteriores pero donde se ha modificado el número de cuenta a la que se debe realizar la transferencia.

Otra variante se hace pasar por un empleado y contacta con la persona responsable de abonar las nóminas para comunicarle que se debe cambiar la cuenta corriente donde se hacen los ingresos periódicamente. En estos casos no se suele implicar a ningún alto directivo de la empresa pero el resultado vienen a ser el mismo y produce una pérdida económica y verdaderos quebraderos de cabeza.

Tampoco debemos olvidar que los delincuentes no dejan de mejorar sus estrategias y están dispuestos a utilizar todo lo que tengan a su alcance si sirve para convencer a la víctima de forma más eficaz. Un ejemplo reciente lo tenemos en la utilización de inteligencia artificial para imitar la voz del CEO de una empresa y conseguir robar 220.000 dólares.

Como protegernos frente a esta amenaza

Una vez explicadas las técnicas usadas por los delincuentes para conseguir robar dinero a las empresas mediante esta técnica pasemos a ver que podemos hacer para defendernos. Una medida fácil de implantar pasa por asegurarse de que cualquier transferencia de dinero que supere cierta cantidad sea verificada por más de una persona. Así mismo, si la llamada de confirmación al directivo que solicita la transferencia no es posible o es suplantada por los delincuentes, se puede establecer un código de verificación o contraseña que ayude a determinar si estamos hablando con la persona adecuada.

Este tipo de estafas utilizan el correo electrónico como vector de ataque y, como ya hemos comprobado, es posible suplantar la identidad del remitente. En casos en los que se nos pida realizar este tipo de transferencias con carácter de urgencia o fuera del procedimiento habitual, haríamos bien en revisar el correo con detalle antes de acatar ciegamente las órdenes.

Además, tal y como ya hemos indicado, los delincuentes hacen uso de información que se puede encontrar fácilmente acerca de la empresa y de sus empleados. Es buena idea monitorizar que tipo de información se está compartiendo o se puede encontrar para tratar de eliminar o restringir el acceso a la más confidencial, que puede ser usada para comprometer la seguridad de la empresa y así evitar este y otro tipo de incidentes.

En cualquier caso, además que implantar medidas de seguridad que traten de detectar este tipo de correos, debemos poner el foco de atención entre las posibles víctimas. Directivos y empleados deben ser informados de la existencia de estos y otros tipos de ataque de forma que puedan actuar como primera línea de defensa. Esto se consigue a través de la concienciación y formación continua que, si bien suele necesitar recursos para que se haga de forma eficaz, los beneficios que puede aportar superan con creces a las posibles pérdidas derivadas de una estafa o ciberataque.

Conclusión

Estafas de este tipo están a la orden del día y causan millones en pérdidas anuales (1300 millones de dólares solo en 2018) en empresas españolas y de otros países. En nuestras manos está la posibilidad de limitar su alcance, concienciando a todos los empleados, independientemente de su puesto en el organigrama de la empresa y estableciendo protocolos de actuación que eviten la perdida de grandes cantidades de dinero.

Josep Albors

La Guardia Civil detiene a tres personas involucradas en el “fraude del CEO”