Fraude del CEO: Cuando tu ‘jefe’ no es quien dice ser
Inauguramos esta sección sobre ciberestafas para conocer de cerca las últimas técnicas para engañar y robar usando herramientas digitales. Y lo hacemos con una estratagema que utiliza a nuestro jefe para destruir las empresas desde dentro.
Lamentablemente, quienes utilizan a diario herramientas digitales, navegan por internet o simplemente tienen un teléfono móvil conocen de cerca las típicas estafas, para nada exclusivas del mundo digital, que suplantan la identidad de terceros para tratar de engañarnos. Ahí tenemos el típico SMS ‘de Correos’ o esos correos electrónicos en los que nos amenazan con hacer públicas las imágenes que han grabado de nosotros en actitudes entre íntimas y pervertidas si no pagamos una determinada suma de dinero en bitcoins.
A estas alturas, estas estafas parecen hasta burdas. Cutres. Poco o nada creíbles. Pero los expertos en ciberseguridad aseguran que son, precisamente, las más efectivas: si alguien es capaz de dar crédito a ese primer mensaje, es muy probable que vaya a tragarse el resto de pasos hasta caer de lleno en la trampa. Es decir: en la ciberdelincuencia, quien pica el primer anzuelo en forma de correo electrónico en el que un príncipe nigeriano le ha dejado a él, sin relación alguna con Nigeria y como parte de un episodio de suerte tan inesperado como difícil de creer, una fortuna a cambio de realizar una serie de ingresos de dinero para pagar tasas y demás burocracia, seguramente estará dispuesto a llevar a término la estafa en sí misma, hasta quedar desplumado persiguiendo esa riqueza inmerecida que se convertirá de forma automática en causa de ruina y pesadilla.
TU JEFE TE ENGAÑA
Como parte del amplio catálogo de estafas digitales basadas en la (burda) suplantación de identidad, está la que se conoce como ‘fraude del CEO’. En su caso, las víctimas son empleados de una empresa en particular, quienes recibirán por canales oficiales un mensaje firmado por una persona con cierto poder dentro de la empresa, ya sea su jefe o el mismísimo CEO, instándoles a realizar algún tipo de operativa. ¿Quién podría negarse a cumplir las órdenes del jefe? Ahí radica el potencial éxito de este timo, que por lo general busca que ese empleado realice un ingreso económico o comparta información confidencial con el falso jefe.
Aunque pudiera parecer un tanto cutre, lo cierto es que existen herramientas para que la treta esté edulcorada con atisbos de realidad. Por ejemplo, el ciberdelincuente suele registrar un dominio similar al oficial de la empresa para enviar los correos electrónicos desde esa dirección. Imaginemos que en lugar de poner ‘clubinfluencers.com’ pusiera ‘club-influencers.com’. ¿De verdad todos los empleados, en la vorágine del día a día, van a reparar en un detalle tan insignificante? Por eso triunfan estos timos.
En su versión más elaborada, el delincuente incluso llamará por teléfono a la víctima haciéndose pasar por un miembro del equipo del CEO que firma el e-mail. Cuando ya te dan hechas las comprobaciones pertinentes para descartar una estafa, ¿quién seguiría sos pechando? Los delincuentes siempre van un paso por delante. Con unas dosis de ingeniería social, utilizando frases que hagan creer al empleado que el CEO está depositando en él un extra de confianza que requiere reciprocidad, el éxito (para el caco) está servido.
LA TÉCNICA, AUNQUE BÁSICA, ES SUTIL EN LAS FORMAS Y LOGRA PASAR INADVERTIDA. LA INGENIERÍA SOCIAL HACE EL TRABAJO SUCIO
CÓMO EVITAR EL ’FRAUDE DEL CEO’
Para evitar este tipo de estafas, lo primero que recomiendan los expertos en ciberseguridad es “utilizar el sentido común y pensar antes de actuar”, como explica Martín Trullas, director de la división de Advanced Solutions de Ingram Micro. “Los ciberdelincuentes te van a enviar un mensaje, a llamar o a hacer una llamada de WhatsApp con carácter de urgencia. Seguramente enviarán un enlace al que quieren que hagas clic para meter tus datos personales. Y eso nunca debes hacerlo”, subraya. Estas son pistas que nos ayudarán a sospechar que hay algo raro detrás de ese correo, mensaje o llamada: la sensación de urgencia (frecuente, por otra parte, en el mundo laboral) y la necesidad de aportar datos de cualquier tipo.
Sin embargo, la responsabilidad no debe recaer en exclusiva en los empleados, sino que las empresas deben poner de su parte para evitar esta estafa en particular, pero todas en general. Por eso, es imprescindible ofrecer formación en ciberseguridad, donde no deben faltar los ejemplos para comprender el modus operandi de los ciberdelincuentes. También hay que implementar protocolos de actuación y comunicación, si bien los delincuentes suelen hacer una exhaustiva investigación previa de la empresa precisamente para conocer el estilo de cada empresa. En este caso, contar con herramientas antivirus ayudará a frenar cualquier acceso no autorizado a los sistemas y a detectar intromisiones. Si además se pone en manos de empresas profesionales, las posibilidades de éxito se incrementarán. “Hay que dejarse asesorar, tener actualizados los sistemas para evitar brechas de seguridad y hacer partícipes a los empleados de la ciberseguridad en la empresa, porque cualquier brecha puede ser aprovechada por los delincuentes para infiltrarse y lograr sus objetivos”, subraya el directivo de Ingram Micro. La ciberseguridad es un asunto serio y tarea de empresas de todos los tamaños, pero también tarea de cada internauta (eso ya lo somos todos) en nuestro día a día.