Ciberseguridad : El fraude del CEO

Son las 18.55 y estás en la oficina a punto de terminar tu día de trabajo y recibes un mensaje de tu CEO o de tu responsable financiero aparentemente real como cualquier otro, dándote una orden directa para que hagas una transferencia urgente porque está cerrando un acuerdo muy importante en esos días que ha acudido a la feria de turno o a un encuentro importante. ¿Qué harías?

España ya es el tercer país del mundo con mayor proporción de ataques de ingeniería social/phishing. Y en los últimos meses se ha detectado un crecimiento espectacular del llamado fraude del CEO. Casi a diario podemos levantarnos con noticias de empresas de diferentes sectores, que han sido víctimas de este tipo de FRAUDE. Esta estafa consiste en suplantar la identidad de altos directivos para lograr que otros empleados realicen transacciones de dinero a ciberdelincuentes. La cautela, el sistema de verificación en dos pasos, la actualización del software y la información son las principales reglas para evitar este fraude

Este tipo de ciberataque se centra en suplantar a directivos o personas con alta responsabilidad, para dar órdenes urgentes y normalmente con indicaciones de confidencialidad, que finalizan en transacciones financieras que normalmente se saltan algún procedimiento de control habitual de la empresa. Los ciberdelincuentes usan por ejemplo información disponible de forma pública en internet, para que sus órdenes tengan una apariencia real y lograr su objetivo de engañarnos.

El empleado que recibe la orden directa puede llevar a cabo lo que se le solicita sin dudar, al entender la urgencia del mensaje o de la orden remitida, la confidencialidad de la misma (lo cual hace que no quiera compartirlo con nadie), y probablemente no se para a comprobar si el mensaje es real o se trata de un engaño. Seguramente en el mail remitido, han aportado datos suficientes, y formatos similares a los usados normalmente, lo que hace que nuestros empleados caigan en la trampa.

A continuación, les detallamos las recomendaciones para intentar identificar un ataque de fraude del CEO, que desde INCIBE (Instituto Nacional de Ciberseguridad) nos aportan, y que de igual manera nos sirven para situaciones como solicitud de cambios de cuentas bancarias por parte de proveedores o similares:

• Verificar las peticiones de envío de fondos por un canal alternativo. Es la vía más eficaz para evitar este tipo de fraudes: una llamada telefónica para verificar que realmente te están dando esa orden de pago; un mensaje instantáneo.
• Comprobar la dirección del remitente. Es clave verificar que la dirección del remitente es correcta, ya que los ciberdelincuentes utilizan nombres de dominio parecidos al legítimo. El cambio de una sola letra es suficiente para que el nombre de dominio sea distinto y pueda engañar a las potenciales víctimas.
• Comprobar la forma de expresión y ortografía del mensaje. Cuando se trata habitualmente por correo con alguien, se aprende a distinguir expresiones, frases hechas, despedidas, etc. de la persona en particular. Podría ser un síntoma que no debe pasarse por alto.
• Firmas y estética del correo. Comprobar que la estética del correo es la adecuada también servirá para distinguir correos legítimos de aquellos que pueden ser fraudulentos. Se debe comprobar el tipo de letra, imágenes, logotipos, firmas, direcciones de correo o puesto en la empresa, así como cualquier otro elemento que siempre se mantenga igual en las comunicaciones.
• Precaución con los enlaces y archivos adjuntos. Como ante cualquier mensaje con enlaces o ficheros adjuntos, se debe tener precaución, ya que estos pueden dirigir a sitios web fraudulentos que contienen malware. Los archivos adjuntos o descargados de webs externas deben verificarse con una herramienta antivirus antes de ejecutarse, y ante la menor duda, es conveniente preguntar al remitente, utilizando una vía alternativa.

En resumen y para evitar ataques como el Fraude del CEO, las empresas deben establecer protocolos y controles financieros además de contar con un adecuado servicio de ciberseguridad, pero también es necesario concienciar a toda la organización (directivos, empleados, etc…), para que puedan estar atentos y preparados para poder detectar este tipo de fraudes.