El fraude del CEO, también conocido como Business Email Compromise (BEC), es un ataque en el que un ciberdelincuente se hace pasar por el director general u otro alto ejecutivo de una organización y envía un correo electrónico para engañar a un empleado para que realice transferencias no autorizadas o envíe información confidencial.
El fraude del CEO es uno de los delitos más perjudiciales desde el punto de vista económico.
Existen dos formas en las que puede producirse un ataque de fraude contra el CEO:
- Ataque de falsificación del correo electrónico.
- Ataque de compromiso del correo electrónico empresarial.
‘Modus operandi’ del fraude del CEO
El modus operandi del fraude del CEO consiste en enviar un correo electrónico al empleado objetivo en el que el falso directivo le pide ayuda para realizar operaciones financieras de manera urgente y confidencial. Si el empleado no se da cuenta de que es un mensaje fraudulento, podría contestar al mensaje y aportar información sensible, como la cantidad de dinero en cuenta de la compañía. Si dicho empleado tiene además capacidad para ordenar pagos, el ciberdelincuente le pedirá que haga una transferencia a una cuenta corriente determinada y así obtener su botín. Si el fraude se lleva a cabo el dinero se puede dar por perdido, solo se llega a recuperar en un cuatro por ciento de los casos.
Para llevar a cabo este tipo de fraude, el ciberdelincuente estudia antes al trabajador al que enviará el correo mediante ingeniería social, por ejemplo en redes sociales e incluso físicamente. El atacante estudia cuestiones como su comportamiento, el lenguaje que suele utilizar el directivo para dirigirse el, etc.
Además, los delincuentes aprovechan ocasiones como la ausencia física del directivo en la oficina o incluso en el país, para llevar a cabo este tipo de ataques. De esta manera, resulta más complicado al empleado contactar con él para confirmar si el correo lo ha enviado realmente él.
En este tipo de estafas se atacan a dos objetivos: el director general o alto ejecutivo y el empleado. Pero esto no significa que el director general sea siempre el que está en el punto de mira de un ciberdelincuente. Hay al menos otros cuatro grupos que también son considerados objetivos dadas sus funciones y su acceso a la información: departamento financiero, recursos humanos, equipo de dirección y el departamento informático.
Cómo evitar estos ataques
Las medidas para evitar este tipo de ciberataques son:
- Educar y concienciar a los empleados para que sean capaces de reconocerlos y evitarlos.
- Comprobar el remitente del correo, ya que no suele coincidir con el que se está suplantando.
- Incorporar la autenticación de dos factores para verificar las solicitudes de cambios en la información de la cuenta.
- Supervisar regularmente las cuentas financieras.
- Mantener todos los parches de software y sistemas actualizados.
Los empleados son la mejor defensa ante este tipo de amenazas, ya que incluso los sistemas de seguridad más sofisticados no son seguros si se dejan las “puertas abiertas”.
El caso con más renombre de los últimos meses fue el que sufrió el Grupo Zendal, en el que fue víctima de una estafa por valor de nueve millones de euros.
Archivado en: