Imagínate que recibes un correo electrónico del director de tu empresa con una petición expresa. ¿Qué es lo que harías? Si eres como la mayoría, cumplir la tarea y responder.
Esa es precisamente la debilidad que utiliza la estafa virtual del fraude del CEO o Business Email Compromise (BEC).

El fraude del CEO es uno de los delitos cibernéticos más peligrosos. Ataca directamente a uno de los eslabones más débiles de la cadena de seguridad de la empresa: las personas que la componen. Así es como funciona.

¿Cómo se produce el fraude del CEO?

El modus operandi de esta estafa online es siempre el mismo. Todo empieza con un correo electrónico supuestamente enviado por otro empleado o un superior de la empresa. Que se llame “el fraude del CEO” es porque el email puede llegar directamente del director general.

La clave de este fraude está en la urgencia y/o confidencialidad del correo y en que la dirección será normalmente muy parecida a la original del jefe, o incluso la misma si la han suplantado.
En el correo siempre transmite urgencia y sensación de autoridad. De hecho, te instará a actuar rápidamente y de forma confidencial. El fraude del CEO puede tener dos objetivos diferentes.

  • Dinero, en cuyo caso te pedirá que hagas una transferencia bancaria, normalmente de un importe elevado.
  • Información, en cuyo caso te pedirá que envíes documentos e información que normalmente no compartirías con personas ajenas a la empresa o a tu departamento.

Este tipo de ataques suelen aprovechar, además, cuando el jefe en cuestión está ausente o fuera de la oficina, para evitar que puedas corroborar la información.

El fraude del CEO es un tipo de ataque conocido como ingeniería social. El objetivo en este caso no son los sistemas de seguridad de la empresa, sino los empleados, como pueden serlo las secretarias de dirección, aunque en realidad, cualquier empleado puede ser objeto de este ataque.

Una variante de esta estafa se da con proveedores que piden cambiar la cuenta corriente de pago. En todos los casos, los ciberdelincuentes suelen contar con mucha información de la empresa e incluso del empleado al que tratan de estafar y de su forma de actuar.

¿Cómo evitar caer en este tipo de estafas?

Para evitar el fraude del CEO y otro tipo de estafas de ingeniería social como empresa, se pueden llevar a cabo acciones para concienciar a los empleados, dándoles herramientas para identificar el ataque.

También se pueden implementar sistemas de seguridad adicional, como la autentificación en dos factores para realizar transferencias de ciertos importes o cambios en la información de la cuenta de clientes. A esto habría que añadir la supervisión de las cuentas financieras de forma regular. Así es como se pueden detectar desvíos de dinero, por ejemplo.

¿Y como empleado? ¿Qué herramientas puedes usar para detectar un correo fraudulento?

Ante la duda, el mejor consejo es tratar de contactar con el remitente por otro medio, como, por ejemplo, por teléfono.

Del mismo modo, pon en cuarentena cualquier petición de cambio de cuenta, transferencia o información que se salga de lo habitual. Si te piden datos confidenciales o financieros, no respondas hasta estar seguro.

Además, ten siempre actualizados todos los sistemas de seguridad de tus dispositivos. Y si lo que recibes es una llamada de un supuesto proveedor, cuelga y llama al número que tengas de referencia para confirmar la orden.

Por último, si has sido víctima del fraude del CEO o crees haberlo sido, denúncialo. En primer lugar, dentro de la empresa. Y en segundo, a la Policía Nacional, que se pondrá a trabajar para intentar encontrar a los culpables.

Al final, este tipo de fraudes de suplantación e ingeniería social son más habituales de lo que podríamos pensar y afectan a todo tipo de empresas. Aprovechan nuestras debilidades como seres humanos y por eso es importante estar preparados.

Publicado el 16 de febrero de 2022