Consejos para evitar ser víctima del fraude del CEO y otros intentos de suplantación

Para evitar ser víctima del fraude del CEO hay que actuar con precaución ante cualquier comunicación sospechosa que ordene realizar una transferencia o revelar información

38 millones de euros. Este fue el botín que consiguió una red criminal franco-israelí tras suplantar la personalidad de varios directivos para estafar a diversas compañías europeas y antes de ser desmantelada por una operación policial liderada por Europol. Este caso evidencia lo importante que es para un directivo evitar ser víctima del fraude del CEO, un ataque de ingeniería social dirigido que desencadena graves consecuencias económicas y reputacionales para las empresas, pero también para los profesionales que caen en la trampa de los delincuentes.

Por ejemplo, una trabajadora de la Empresa Municipal de Transportes (EMT) de Valencia fue víctima de esta clase de estafa en el año 2019. Los delincuentes fueron capaces de conseguir que autorizara pagos ilegítimos por valor de 4 millones de euros. Esta profesional fue despedida por la compañía y condenada por el Tribunal de Cuentas a reembolsar el dinero sustraído. Casi 5 años después sigue litigando para ser exonerada de esta condena.

¿Cómo funciona el fraude del CEO y a quién afecta?

Los ciberdelincuentes suplantan a un directivo de una organización para conseguir inducir a un tercer empleado de la compañía a realizar un comportamiento concreto, como puede ser divulgar información empresarial confidencial o realizar una transferencia económica, como sucedió en el caso de la EMT de Valencia.

Como muchos de los riesgos digitales que enfrentamos en la actualidad, su desarrollo puede ser muy precario, de lenguaje descuidado y fácilmente detectable. Pero también puede ser altamente sofisticado, incluyendo:

• Un elaborado análisis previo de la persona a suplantar.
• La adquisición de dominios muy similares a los utilizados en sus conversaciones corporativas.
• El uso herramientas de Inteligencia Artificial para realizar deepfakes de voz o vídeo.

Esta variedad de procedimientos también ha derivado en una diversidad de posibles canales a través de los cuales es posible recibir un fraude de esta naturaleza. Los canales más habituales son:

• El correo electrónico corporativo.
• Las aplicaciones de mensajería instantánea.
• Las llamadas telefónicas.
• Los entornos ofimáticos de trabajo online como Teams, Slack o similares.

En lo que respecta a las víctimas potenciales, al inicio, los delincuentes buscaban contactar con cargos intermedios con capacidad de realizar transferencias irregulares. Sin embargo, actualmente se producen, también, contactos más descuidados y aleatorios, de tal manera que cualquier empleado de una organización puede verse involucrado en una acción de esta naturaleza.

Asimismo, es fundamental señalar que el fraude del CEO es una clase de estafa que afecta, principalmente, a organizaciones tanto públicas como privadas que operan a nivel comercial, realizan transferencias o cuentan con una red de proveedores.

¿Qué tipos de intentos de suplantación existen?

Aunque a nivel teórico se pueden distinguir varios tipos de fraudes de esta naturaleza, su diferenciación en la práctica puede ser más compleja y estar supeditada al grado de ingeniería social utilizado en su desarrollo:

• Fraude al CEO
  • Víctima potencial: Empleados de la organización con acceso a la información solicitada.
  • ¿A quién se suplanta? Al CEO u a otro cargo de responsabilidad.
  • Ejemplos:
    • Requerir una transferencia.
    • Solicitar la compra de algún elemento tipo tarjeta de pago.
    • Consultar cómo hacer el acceso a un entorno concreto.
• Caza de Ballena
  • Víctima potencial: Directores o ejecutivos de alto perfil.
  • ¿A quién se suplanta? A entidades conocidas y confiables.
  • Ejemplos:
    • Convocar a la víctima a una reunión ficticia enviándole un enlace malicioso infectado con malware.
    • Interceptar y suplantar una conversación de email para desviar una transferencia.
    • Solicitar información salarial de los empleados.
• Business Email Compromise
  • Víctima potencial: Personal de los departamentos financieros, de ventas y de compras.
  • ¿A quién se suplanta? A proveedores, clientes y relacionados, tanto conocidos como potenciales.
  • Ejemplos:
    • Solicitar un pago a un número de cuenta diferente al habitual.
    • Requerir una compra a una dirección de envío nueva.
    • Confirmar nuevas funcionalidades en productos que aún se están desarrollando.

¿Cómo se puede evitar ser víctima del fraude del CEO?

Los expertos en ciberseguridad recomiendan a las empresas y a sus profesionales seguir una serie de pautas e implementar medidas que pueden ser esenciales para evitar ser víctima del fraude del CEO:

1. Conocer esta clase de ataque y estar concienciados de su peligrosidad.
2. Disponer de protocolos sobre cómo actuar ante peticiones de información sensible o realización de una transferencia o un desembolso, sin importar el tamaño de la organización, porque las más pequeñas también están en el punto de mira de los delincuentes. Sin ir más lejos, a finales de 2023, una residencia de mayores sufrió una estafa de 20.000 euros.
3. Prestar especial atención a emails con archivos adjuntos o enlaces externos, no solo dirigidos a cuentas corporativas, sino también a cuentas personales o aquellas que se tengan por pertenecer a otras instituciones, como universidades o colegios profesionales.
4. No abrir enlaces externos o archivos adjuntos de correos electrónicos sospechosos.
5. Disponer de programas antispam y antimalware.
6. Identificar dominios y subdominios creados por los delincuentes para suplantar a la organización y proceder a bloquear su comunicación a nivel interno.
7. Realizar ejercicios prácticos de concienciación de manera periódica y adaptar los protocolos existentes al nivel de concienciación existente.
8. Hacer uso de mecanismos de autenticación de segundo factor (2FA) y de creación segura de contraseñas.

¿Es posible detectar indicios para evitar ser víctima del fraude del CEO?

Para llevar a cabo un fraude del CEO u otra clase de intento de suplantación, los delincuentes necesitan inducir el comportamiento de sus víctimas. Esto implica que los profesionales de una organización pueden detectar cinco grandes indicios:

1. Una indicación concreta sobre el comportamiento que se ha de realizar a continuación. Por ejemplo, transferir una cantidad de dinero a una cuenta específica o compartir unas credenciales de acceso.
2. Un grado de urgencia, criticidad o relevancia de la acción a realizar, alentando así a que se haga en el menor tiempo posible.
3. Una indicación de confidencialidad respecto a lo que se solicita, a fin de evitar confirmar por terceras vías si esta petición es real o de que la víctima se cuestione la petición.
4. Un número de cuenta de destino inusual. Este indicio es muy habitual en aquellos fraudes en los que se suplanta a un interlocutor habitual como un proveedor o un prestador de servicios.
5. La suplantación de un tercero.
   • Si el fraude es sofisticado, esta suplantación puede ser lo suficientemente compleja como para advertir la falsedad en un primer vistazo, puesto que puede estar haciéndose uso de un correo legítimo que se ha visto comprometido.
   • En otros casos, será sencillo advertir pequeñas variaciones en la dirección del correo o en las URLs de su contenido, así como detectar el uso de un nuevo número de teléfono.

¿Cómo se puede responder ante un intento de suplantación?

Si el profesional de una organización detecta alguno de estos indicios debe actuar con celeridad para evitar ser víctima del fraude del CEO, realizando las siguientes acciones:

• Evitar interactuar de modo alguno con un mensaje sospechoso.
• No facilitar información confidencial, ya sea personal o corporativa, en interacciones con terceros no habilitadas para compartir este tipo de información.
• Recopilar datos sobre el fraude, como las direcciones de correo electrónico o los números de teléfono desde los que se ha recibido la comunicación sospechosa.
• Informar al resto del personal de la empresa para que otros profesionales puedan evitar ser víctimas del fraude del CEO.
• Poner en conocimiento al departamento de IT o de ciberseguridad de la empresa para que se puedan llevar a cabo medidas de mitigación frente a estos fraudes.
• Contar con servicios de ciberseguridad antifraude que permitan la identificación temprana de estos ataques y ayuden en la mitigación de los mismos.
• Denunciar los hechos.

En definitiva, los intentos de suplantación de identidad son una amenaza real que pueden provocar pérdidas económicas millonarias a las empresas, menoscabar su reputación y traer consigo problemas legales a los profesionales que son engañados con éxito. Por eso, es fundamental que las organizaciones dispongan de protocolos de actuación claros que permitan a cada uno de sus profesionales evitar ser víctima del fraude del CEO y dar la voz de alarma ante cualquier indicio de esta clase de estafa.