El Banco de España alerta sobre la estafa del CEO: Suplantar la identidad del director general no es tan complicado

El Banco de España ha dedicado en su web un espacio importante al llamado fraude del CEO, una práctica fraudulenta cada vez más habitual en las empresas y que puede generar, además de una brecha de seguridad, un problema financiero.

Pocas empresas quieren revelar haber sido víctimas de estos fraudes por lo que son muy pocos los casos que trascienden en la práctica. No obstante, lo cierto es que existen muchas víctimas de este delito en España en el que se manejan cifras cuya media oscila entre los 3 y los 12 millones de euros, especialmente en el Levante español.

Parece difícil creer que sean tantos los casos en que directivos puedan ser víctimas de este engaño, pero lo cierto es que los defraudadores realizan investigaciones cada vez más refinadas y sofisticadas para elegir tanto al ejecutivo al que se suplanta como a la víctima.

Resulta alarmante el nivel de información profesional, personal e incluso familiar que obtienen los defraudadores.

Este fraude tiene como objetivo engañar a un mando intermedio de una empresa u organismo público para que realice una transferencia desde la cuenta de la compañía o para que pague una factura falsa.

Para ello, los delincuentes suplantan la identidad de un alto cargo de esa misma empresa u organismo o la de un proveedor habitual.

Así, los ciberdelincuentes utilizan diversas técnicas que pueden poner a prueba la seguridad de la empresa o de la entidad de que se trate en cuestión.

Una de las más conocida es el ‘phishing’: envío indiscriminado de correos electrónicos a empleados para tratar de “pescar” información sensible haciéndose pasar por una fuente reputada.

Más sofisticada que la anterior es el ‘spear phishing’: supone un paso más con respecto al anterior, ya que, previamente, han conseguido información de los usuarios disponible en Internet (por ejemplo, en redes sociales) y dirigen correos electrónicos más personalizados.

Otra técnica aún más depurada es la llamada ‘whaling’: se trata de un phishing dirigido a los peces gordos de la firma (de ahí su nombre, whale = ballena). El ciberdelincuente ha hecho un estudio exhaustivo de la víctima y conoce bien cómo funciona la organización.

Por último, realizan actividades de lo que se conoce como ingeniería social, es decir, recrean situaciones que hacen que la estafa sea más fácil. Por ejemplo, ¿qué harías si recibes un correo de tu jefe pidiéndote que hagas una transferencia para cerrar una operación financiera confidencial y urgente? ¿Te arriesgarías a cuestionar esta solicitud? Saben que es un dilema y lo usan en su beneficio.

En cuanto a la forma de protegernos de estos fraudes, Confilegal ha pedido la opinión de varios expertos como Manuel Asenjo, director de Tecnología (IT) del despacho Eversheds Sutherland Nicea y Javier Durán, director de Servicios Generales y Relaciones Laborales de Ceca Magán Abogados, quienes ofrecen recomendaciones en base a su experiencia profesional.

Asenjo señala que “a nivel de despacho tenemos políticas muy concretas. Utilizamos sistemas de ‘Machine Learning’ para reconocer las pautas de los usuarios relevantes y en caso de que se produzca una acción inesperada o reciban un correo peligroso, estos sistemas puedan frenar la amenaza”.

Manuel Asenjo, director de Tecnología (IT) del despacho Eversheds Sutherland Nicea.

“También tenemos políticas de contraseñas seguras y autenticación de doble factor, a través de este sistema se puede detectar intentos de acceso desde lugares remotos y bloquear la cuenta en caso de que el número de intentos erróneos sea elevado”, explica.

Desde su punto de vista no puede olvidarse que “la responsabilidad final siempre recae sobre el usuario. El usuario debe recibir formación para saber identificar este tipo de amenazas, tanto si viene por teléfono o por un mail”.

Asenjo considera que “debemos tener en cuenta que en muchas ocasiones es la cuenta del jefe, directivo o CEO la que ha sido expuesta y capturada. Los delincuentes utilizarán un lenguaje similar y todos los elementos (firma, logos y cuenta original) para realizar este fraude en concreto”.

Por ello, «también es importante tener seguridad adicional a nivel financiero. Debemos proteger los pagos o transferencias con doble autorización. Se debe requerir al menos a dos personas para poder realizar la transacción”.

Sobre un caso ficticio en el que se hubiera generado ya la citada transferencia, señala que en ese momento solo queda contactar rápidamente con la entidad financiera para que pueda anular la transferencia, verificar con el empleado cómo ha ocurrido aislando el equipo del usuario y, por supuesto, poner la pertinente denuncia para que las fuerzas y cuerpos de seguridad del Estado pongan en marcha sus procedimientos.

Para este experto en seguridad tecnológica “son cada vez más las empresas que caen y los métodos utilizados, debemos tener mucho cuidado y ante cualquier sospecha buscar la opinión de un experto, después puede ser muy tarde”.

La seguridad debe ser exigente

Por su parte, Javier Durán, director de servicios generales y relaciones laborales de Ceca Magán Abogados y responsable del área de seguridad del despacho, destaca que “hemos desarrollado en la firma un sistema de filtros muy importante. Nadie puede hacer una transferencia por sí solo. Ni siquiera desde el propio departamento financiero. Nuestro sistema obliga a que firmen varias personas siempre cualquier operación de este tipo”.

Otra cuestión importante son los programas formativos internos para concienciar a los profesionales de este despacho sobre correos fraudulentos que puedan recibir. “Recordamos de forma periódica todos estos temas para evitar que nadie caiga en ellos. Nos pueden hackear las cuentas. Tenemos claro que si hay alguna duda lo mejor es preguntar antes de abrir ese correo electrónico”.

Javier Durán, director de Servicios Generales y Relaciones Laborales de Ceca Magán Abogados.

La firma también cuenta con un sistema de firewall importante de última generación que frena todos estos correos maliciosos, además de sistemas antivirus para cualquier tipo de archivo de esta índole.

Respecto a los socios, “si les llegan las operaciones para firmar, procuramos que se verifiquen por varios canales para así cerciorarnos de la veracidad de la misma”. En Ceca Mágan hay costumbre de cambiar las cuentas de correo de forma periódica con lo cual el phishing es complicado. “Somos exigentes con la seguridad del despacho”.

A nivel de profesionales, las recomendaciones van por la gestión del correo, “que no haya dudas sobre el correo que les llega. Hemos detectado en los cuerpos de correo que habitualmente si pinchas se abre la dirección real y así se puede verificar que hay otra con destino de Ucrania. Son correos falsos y hay que evitarlos para evitar cualquier problema posterior”.

En el caso de que se haya producido el fraude del CEO, Durán tiene que claro que se debe hacer una denuncia en la policía y comunicar el problema existente. “Ya se ha enviado el dinero, con lo cual hay que dejar el tema en manos de los profesionales de la fuerza de seguridad. Luego, a nivel interno hay que abrir un caso para saber qué ha pasado y que no vuelva a ocurrir esa brecha de seguridad”.

Noticias Relacionadas:

La Justicia absuelve a una mujer a la que suplantaron su dirección IP para estafar más de 900 euros a un tercero

El casino online Sportium, multado con 40.000 euros por un alta fraudulenta a raíz de una suplantación de identidad 

El PSOE rectifica y renuncia a citar a 3 fiscales ante la Comisión de Investigación de las mascarillas en el Congreso

Robles no ve «adecuada» la citación a jueces y fiscales a la comisión de investigación del ‘caso Koldo’ en Congreso

«Se están utilizando todos los poderes del Estado contra un particular»: Díaz Ayuso responde al anuncio de la AEAT

Rodríguez Uribes da a entender que el CSD podría suspender cautelarmente a Rocha