Los grandes beneficios que los ciberdelincuentes obtienen del éxito del ciberataque conocido como fraude del CEO y la evolución de la tecnología están detrás de la proliferación de este tipo de ataques.
¿Qué es el fraude del CEO?
El fraude del CEO, también conocido como “Business Email Compromise” (BEC), es una forma de ciberestafa en la que los delincuentes se hacen pasar por el CEO o un alto ejecutivo de una empresa para engañar a los empleados y obtener transferencias de dinero o información confidencial. Este tipo de fraude ha ganado notoriedad en los últimos años debido a su efectividad y al impacto financiero significativo que llega a tener en las organizaciones.
El fraude del CEO se caracteriza por su sofisticación y por el uso de técnicas de ingeniería social. Los ciberdelincuentes investigan a fondo a la empresa objetivo, recopilando información sobre su estructura organizativa, sus ejecutivos y sus empleados. Utilizan esta información para crear correos electrónicos falsificados, aparentemente remitidos por algún alto cargo, que parecen auténticos y que suelen contener un sentido de urgencia.
Estos correos electrónicos pueden solicitar transferencias de dinero a cuentas bancarias controladas por los delincuentes o la divulgación de información confidencial.
Algunas de las técnicas utilizadas para llevar a cabo el fraude del CEO son:
- Suplantación de identidad. Los estafadores crean direcciones de correo electrónico que imitan las de los altos ejecutivos de la empresa. A veces, incluso comprometen las cuentas de correo electrónico reales de los ejecutivos para enviar mensajes fraudulentos.
- Ingeniería social. Los delincuentes utilizan tácticas de persuasión para ganarse la confianza de los empleados. Pueden hacerse pasar por el CEO, o un alto ejecutivo, imitando, incluso, su forma de comunicarse y escribir, y solicitar acciones urgentes, como transferencias de dinero, alegando razones de negocios críticas.
- Manipulación psicológica. Los correos electrónicos fraudulentos a menudo contienen un sentido de urgencia y presión para que los empleados actúen rápidamente sin seguir los procedimientos habituales de verificación. Esto puede incluir amenazas sutiles o la promesa de recompensas.
El impacto del fraude del CEO puede ser devastador para las empresas. Las pérdidas financieras suelen ser significativas, y la recuperación del dinero robado es a menudo difícil o imposible.
Te puede interesar nuestro contenido→ Cómo prevenir la suplantación de identidad en redes sociales.
Cómo funciona el fraude del CEO: pasos principales
Como ya hemos visto, el fraude del CEO es una táctica sofisticada que los ciberdelincuentes utilizan para engañar a los empleados de una empresa y obtener beneficios financieros o información confidencial. Por eso, este tipo de fraude se basa en la manipulación psicológica y la ingeniería social para lograr sus objetivos.
Los pasos típicos que siguen los estafadores para llevar a cabo el fraude del CEO son:
Investigación y recopilación de información
El primer paso en el fraude del CEO es la investigación exhaustiva de la empresa objetivo. Los ciberdelincuentes recopilan información sobre la estructura organizativa de la empresa, los nombres y cargos de los altos ejecutivos y los empleados que tienen acceso a las finanzas o a información sensible.
Esta información se obtiene a través de diversas fuentes, como redes sociales, sitios web corporativos y bases de datos públicas.
Suplantación de identidad
Una vez que los estafadores han recopilado suficiente información, crean direcciones de correo electrónico que imitan las de los altos ejecutivos de la empresa. En algunos casos, incluso comprometen las cuentas de correo electrónico reales de los ejecutivos para enviar mensajes fraudulentos.
Estos correos electrónicos falsificados están diseñados para parecer auténticos y a menudo contienen detalles específicos que aumentan su credibilidad.
Envío del correo electrónico fraudulento
Los ciberdelincuentes envían correos electrónicos a los empleados de la empresa, haciéndose pasar por el CEO o un alto ejecutivo. Estos correos electrónicos suelen contener un sentido de urgencia y solicitan acciones inmediatas, como transferencias de dinero a cuentas bancarias controladas por los delincuentes o la divulgación de información confidencial.
Los estafadores utilizan tácticas de persuasión y manipulación psicológica para convencer a los empleados de que actúen rápidamente sin seguir los procedimientos habituales de verificación.
Manipulación psicológica
Los correos electrónicos implicados en un fraude del CEO incluyen elementos de manipulación psicológica para aumentar la probabilidad de éxito. Por ejemplo, amenazas sutiles, como la posibilidad de perder una oportunidad de negocio importante, o promesas de recompensas, como un ascenso o un bono.
Los estafadores también aprovechan momentos de alta presión en el mercado o cambios en la empresa, como fusiones o adquisiciones, para aumentar la credibilidad de sus solicitudes.
Ejecución de la estafa
Si los empleados caen en la trampa y realizan las acciones solicitadas, los ciberdelincuentes logran su objetivo. Las transferencias de dinero se envían a cuentas bancarias controladas por los delincuentes y casi imposibles de rastrear o la información confidencial obtenida se utiliza para otros fines maliciosos.
Estrategias para evitar el fraude del CEO
Evitar el fraude del CEO requiere tomar medidas de seguridad específicamente dirigidas a este tipo de ataques, como:
Establecimiento de protocolos de verificación
Es una de las medidas más efectivas para prevenir el fraude del CEO. Estos protocolos aseguran que cualquier solicitud de transferencia de dinero o divulgación de información confidencial sea verificada antes de ser ejecutada. Algunas prácticas recomendadas incluyen:
- Confirmación verbal: requerir que cualquier solicitud de transferencia de dinero sea confirmada verbalmente a través de una llamada telefónica directa al ejecutivo que supuestamente envía el correo electrónico.
- Doble autenticación: implementar un sistema de doble autenticación para las transacciones financieras. Destaca, por su efectividad, la obligación de tener la aprobación de dos o más personas de la organización para cualquier transferencia de dinero significativa.
- Procedimientos de escalamiento: establecer procedimientos claros para escalar cualquier solicitud sospechosa a un nivel superior de gestión para su revisión y aprobación.
Protección del correo electrónico
La protección del correo electrónico es crucial para prevenir el fraude del CEO. Las empresas deben implementar soluciones de seguridad de correo electrónico que incluyan:
- Filtros de spam avanzados. Utilizar filtros de spam avanzados para bloquear correos electrónicos sospechosos antes de que lleguen a la bandeja de entrada de los empleados.
- Autenticación de correo electrónico. Implementar protocolos de autenticación de correo electrónico como SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) y DMARC (Domain-based Message Authentication, Reporting & Conformance) para verificar la autenticidad de los correos electrónicos entrantes.
- Detección de phishing. Utilizar herramientas de detección de phishing que identifiquen y bloqueen correos electrónicos fraudulentos. Estas herramientas analizan el contenido del correo electrónico en busca de señales de phishing y alertar a los empleados sobre posibles amenazas.
- Educación y concienciación. Capacitar a los empleados sobre cómo identificar correos electrónicos sospechosos y qué hacer si reciben uno. Incluye enseñarles a verificar las direcciones de correo electrónico, buscar errores gramaticales y de ortografía, sospechar de tonos de comunicación no habituales y no hacer clic en enlaces o descargar archivos adjuntos de correos electrónicos no solicitados.
Procedimientos de confirmación externa
Además de los protocolos de verificación internos, es conveniente que las empresas establezcan procedimientos de confirmación externa para asegurar la autenticidad de las solicitudes de transferencia de dinero.
- Verificación con el banco. Antes de procesar cualquier transferencia de dinero, verificar la solicitud con el banco para asegurarse de que sea legítima. Puede incluir la confirmación de la identidad del solicitante y la revisión de la cuenta bancaria de destino.
- Lista de contactos de emergencia. Mantener una lista de contactos de emergencia que incluya los números de teléfono y direcciones de correo electrónico de los altos ejecutivos y otros empleados clave. Permite una confirmación rápida y directa de cualquier solicitud urgente.
- Revisión de transacciones. Implementar un proceso de comprobación de transacciones que incluya la verificación de cualquier transferencia de dinero significativa por parte de múltiples personas. Esto ayuda a asegurar que las solicitudes sean legítimas y que se sigan los procedimientos adecuados.
¿Es posible detectar indicios para evitar ser víctima del fraude del CEO?
Conocer cómo detectar indicios de un posible fraude del CEO es crucial para prevenir este tipo de ataques. Para ello, los empleados deben estar familiarizados con las diversas señales de alerta y la organización ha de conocer las amenazas a las que está expuesta en cada momento y que pueden ser utilizadas para armar el ataque.
Señales de alerta
Existen varias señales de alerta que pueden indicar un intento de fraude del CEO.
- Correos electrónicos con errores gramaticales, de ortografía o de tono: los correos electrónicos fraudulentos a menudo contienen errores o tonos de comunicación no habituales que deben, siempre, poner en alerta y obligar a una verificación.
- Solicitudes de acciones urgentes: los estafadores suelen crear un sentido de urgencia para que los empleados actúen rápidamente sin seguir los procedimientos comunes de comprobación.
- Direcciones de correo electrónico sospechosas: las direcciones de correo electrónico que imitan las de los altos ejecutivos, pero con pequeñas variaciones, son una señal clara de fraude.
- Solicitudes inusuales: cualquier solicitud que no siga los procedimientos usuales de la empresa debe ser considerada sospechosa y verificada.
Técnicas de monitoreo
Para detectar posibles intentos de fraude del CEO, es conveniente que las empresas implementen técnicas de monitoreo que incluyan todas las capas de la web.
Monitoreo de la web superficial
La web superficial incluye todos los sitios web que son accesibles a través de motores de búsqueda convencionales. Las herramientas de monitorización rastrean menciones a la organización, nombres de ejecutivos y otra información sensible en blogs, foros y redes sociales. Ayuda a identificar posibles intentos de recopilación de información por parte de ciberdelincuentes.
Monitoreo de la deep web
La deep web incluye contenido que no está indexado por los motores de búsqueda convencionales, como bases de datos, foros privados y sitios web protegidos por contraseña. Las herramientas de monitorización especializadas rastrean actividades sospechosas en estos sitios. Incluye la búsqueda de información filtrada, como credenciales de inicio de sesión, que los ciberdelincuentes podrían utilizar para diseñar un ataque de fraude del CEO.
Monitoreo de la dark web
La dark web es una parte de la web profunda que requiere software especial para acceder, como Tor. Es un lugar común para la venta y el intercambio de información robada. Las herramientas de monitorización especializada rastrean la venta de información sensible, como credenciales de correo electrónico, datos financieros y datos personales confidenciales. Proporciona una alerta temprana de que los ciberdelincuentes están recopilando información para un posible ataque.
Análisis de comportamiento
Las herramientas de análisis de comportamiento ayudan a identificar actividades inusuales en las cuentas de correo electrónico y sistemas financieros. Detectan patrones de comportamiento anómalos, como intentos de inicio de sesión desde ubicaciones inusuales o transferencias de dinero no autorizadas.
Auditorías regulares
Realizar auditorías regulares de las transacciones financieras y las comunicaciones electrónicas es esencial para detectar cualquier anomalía. Las auditorías ayudan a identificar actividades y patrones sospechosos y a garantizar que se establecen y siguen los procedimientos de seguridad adecuados.
Ejemplos relevantes de fraude del CEO
Conocemos algunos de estos ataques cuando saltan a los medios de comunicación, pero no son todos, ya que la mayoría de las empresas intenta evitar que se hagan públicos por razones de reputación.
- Ubiquiti Networks (2015). Los estafadores utilizaron correos electrónicos falsificados para engañar a los empleados de esta empresa tecnológica y realizar transferencias de dinero a cuentas bancarias controladas por los delincuentes. La pérdida financiera ascendió a 46.7 millones de dólares.
- FACC (2016). La empresa aeroespacial austriaca FACC sufrió un fraude del CEO que resultó en la pérdida de 50 millones de euros. Los estafadores se hicieron pasar por el CEO y enviaron correos electrónicos a los empleados solicitando transferencias de dinero para una supuesta adquisición.
- Crelan Bank (2016). El banco belga Crelan Bank fue víctima de un fraude del CEO que resultó en la pérdida de 70 millones de euros, tras conseguir los estafadores engañar a algunos empleados con la solicitud de diferentes transferencias.
- Grupo Farmacéutico Zendal (2020). En España, inmersos en la pandemia, el director financiero del grupo transfirió 9 millones de euros siguiendo la supuesta orden urgente y confidencial del CEO de la compañía, cuyo correo electrónico había sido intervenido por un ciberdelincuente.
- Cáritas Luxemburgo (2024). Aunque sigue bajo investigación, el hundimiento financiero de Cáritas Luxemburgo debido a las transferencias, a lo largo de cinco meses, de 61 millones de euros a 14 cuentas bancarias diferentes se achaca a un fraude del CEO que consiguió engañar a la directora financiera de la organización.
Enthec te ayuda a gestionar la exposición a amenazas de tu organización
Gracias a sus soluciones de gestión de la exposición a amenazas (Threat Exposure Management, TEM), Enthec permite a la organización monitorizar las diferentes capas de la web para localizar la información filtrada y expuesta que está al alcance de cualquiera que quiera utilizarla para diseñar un ataque tipo Fraude del CEO. Incluye información sensible corporativa y también personal del CEO y altos ejecutivos, de forma que la organización pueda neutralizar sus efectos antes, incluso, de que el ataque se ejecute.
Contacta con nosotros para conocer más a fondo cómo Enthec puede ayudarte a evitar el fraude del CEO y otras técnicas de ingeniería social y el costoso impacto financiero que conllevan.