Ana Gómez Blanco Ana Gómez Blanco

Ana Gómez Blanco

Este tipo de ciberataque, dirigido a los empleados de las empresas, ha ido en constante aumento durante el último año. El «fraude al CEO» puede afectar a cualquier tipo de empresa, desde pequeñas empresas familiares hasta grandes multinacionales, y es esencial entender cómo funciona para proteger a las empresas de él.

En 2018, el mundo se vio afectado por una estafa que costó a las empresas un estimado de €1,1 mil millones: «fraude de CEO». Esta estafa es bastante común y probablemente lo será aún más en 2019.

«Fraude de CEO», también conocido como» Compromiso de correo electrónico Comercial » (BEC), es una estafa en la que se suplanta a ejecutivos de alto nivel (también conocidos como ejecutivos de nivel C), dando a los empleados órdenes urgentes y confidenciales para realizar transacciones financieras de una manera que no sigue los procedimientos estándar de la compañía. Los ciberdelincuentes intentan generar confianza en sus víctimas mediante el uso de información que está disponible públicamente en línea, lo que hace que cualquier tema parezca creíble.

A lo largo de los años, los estafadores se han vuelto más sofisticados en la forma en que preparan el escenario hasta el punto en que crean situaciones plausibles con una gran estructura de soporte. Dicho esto, el’ modus operandi ‘ sigue siendo el mismo, consistente en cuatro etapas principales:

• Fase 1: Elegir a la víctima

Información diaria sobre futuros eventos corporativos, eventos de patrocinio, viajes, etc. se publica en sitios web corporativos y páginas de redes sociales de empleados. Estos mensajes inocentes que pueden tratar de publicitar la empresa pueden ser explotados por grupos delictivos para identificar cuándo un alto directivo, ya sea de una empresa multinacional o de una PYME, será inaccesible, o con acceso restringido a la computadora o al teléfono.

Una vez identificada la persona a la que pretenden suplantar, los delincuentes investigan el sector de la empresa, la red de contactos, socios, transacciones comunes, noticias de una posible fusión y si el responsable ha asistido o no a un evento o feria en el que podría realizar una gran compra. Por lo tanto, los escenarios más comunes que los delincuentes han utilizado en los últimos meses para ganarse la confianza de los empleados son:

• • Un director falso se pone en contacto con un empleado con acceso a las cuentas de la empresa para pedirle que transfiera dinero urgentemente a un número de cuenta que no se usa normalmente. Los delincuentes cibernéticos saben a quién contactar gracias a la huella digital del empleado, en otras palabras, la información disponible públicamente en línea.
  • Una empresa de fusiones y adquisiciones falsa o suplantada (M&A) dedicada a la compra, venta y fusión de empresas escribe al empleado pidiéndole que le ayude con la operación transfiriendo dinero. Los criminales se disculpan porque su superior, al que no se puede contactar en ese momento, debería haberles informado antes y que la operación es confidencial.

• Fase 2: Manipular el empleado

Aquí es cuando la ‘ingeniería social’ entra en juego. Una vez que la coartada está lista, los delincuentes llaman o envían un correo electrónico al empleado con permiso para realizar transacciones o acceder a información confidencial. El correo electrónico generalmente se envía desde un dominio muy similar al original para que parezca familiar para el empleado. La firma generalmente se omite o se usa una firma muy similar a la original.

La estructura del correo electrónico tiende a incluir lo siguiente:

• • Breve introducción explicando que es un asunto muy urgente y confidencial que no se puede explicar a colegas o superiores.
  • El cuerpo del correo electrónico en el que se solicita información confidencial o se pide al empleado que realice una transacción bancaria por una cantidad alta a un número de cuenta inusual.
  • cierre recordando lo importante que es la confidencialidad y la urgencia de esta operación.

a Veces, el correo electrónico no llega solo. Puede ir acompañado o precedido de:

• • Llamadas telefónicas o correos electrónicos anteriores que confirmen que el empleado estará disponible cuando se envíe el correo electrónico.
  • Documentos adjuntos que simulan un acuerdo de confidencialidad.
  • Detalles muy específicos sobre los procedimientos y transacciones de la empresa que parecen familiares para el empleado con el fin de ganar confianza sobre lo que se solicita.

• Fase 3: Empleado de reacción

El empleado puede reaccionar haciendo lo que se solicita, sin cuestionar. Esto sucede como resultado de la naturaleza urgente del mensaje. El empleado no se detiene a verificar la dirección de correo electrónico que envió el mensaje, si el correo electrónico se escribió correctamente en términos de estructura y gramática, o si la solicitud se ajusta a la práctica común en la empresa. Tal vez el ciberdelincuente proporcionó datos suficientes para ganarse la confianza del empleado. Al repetir varias veces que algo es confidencial, los empleados tienden a no compartirlo con sus colegas debido al miedo a las repercusiones.

• Fase 4: El impacto

Los números de cuenta que utilizan los grupos delictivos tienden a estar en otros países. Los incidentes denunciados utilizaron cuentas en China, África o paraísos fiscales con políticas económicas diferentes a las de Europa. La legislación diferente combinada con las diferencias de tiempo y las barreras lingüísticas hacen que cancelar las transferencias o rastrear el dinero sea una tarea imposible.

Incluso los sistemas más seguros no son seguros si las puertas se dejan abiertas a los delincuentes. Recuerda: ¡Eres la mejor defensa!