Noticias
El increíble éxito del fraude del CEO
¡Hola, soy el jefe del jefe del jefe de tu jefe y tengo un problema, envíame rápidamente un millón de dólares a esta cuenta de banco en China que te pongo aquí!». Suena estrambótico, ¿verdad? Pues funciona. Según los datos publicados recientemente por el FBI, así como un informe sobre «CEO Fraud y Supplier Swindle», publicado por la compañía de seguridad Trend Micro, estas técnicas han permitido a los estafadores hacerse con 1.300 millones de dólares de 22.143 víctimas en los últimos tres años, tal y como destaca hoy Computerworld.
Pero bueno, seamos justos. Lo cierto es que el nivel de sofisticación empleado por los estafadores es bastante más alto que el del mensaje que he reproducido al principio de la noticia. Esto es, a diferencia de otro tipo de ataques en los que prima emitir miles (o millones) de comunicaciones para intentar cazar a algún incauto, y en los que lo común todavía a estas alturas es encontrarse con supuestos mensajes de tu banco cuyo nivel de redacción haría palidecer de vergüenza a un niño de ocho años. En este caso, los estafadores realizan un trabajo mucho más «fino», que en la mayoría de las ocasiones puede llevar bastante tiempo.
En el caso del «CEO Fraud», la investigación se centra en intentar obtener acceso a su correo electrónico y, una vez dentro, revisar en profundidad todas sus comunicaciones, reuniones, contactos, agenda, etcétera. Y es que, con ese conocimiento, se puede saber si, por ejemplo, el directivo va a realizar un viaje a algún lugar lejano, momento que será empleado por los delincuentes para enviar, a un empleado con capacidad de realizar operaciones económicas sin supervisión, un mensaje en el que suplantan la identidad del CEO, diciendo que tiene algún tipo de problema y que necesita, de manera muy urgente, una transferencia económica a una cuenta bancaria (fuera del país, por supuesto, principalmente en China y en Hong Kong).
Por su parte, la supplier swindle (estafa del proveedor) consiste en hacerse pasar por el contacto habitual (y, por lo tanto, de confianza) de un proveedor con su cliente, Para tal fin también analizan previamente la relación e, incluso, el estilo de escritura de la persona cuya identidad están suplantando. Y, claro, en ese mensaje informan de un problema de cualquier tipo, que para ser solventado requiere de una transferencia económica cuantiosa y muy, muy urgente, frente al riesgo de que el problema impida al proveedor entregar sus suministros a la empresa cliente. También aquí los estafadores habrán logrado previamente acceso al correo electrónico de la persona suplantada. También hay otra variante, muy habitual, que consiste no en «declarar una emergencia», sino simplemente informar de un cambio en los datos de pago. En este caso, aunque lo más común es el email, también se pueden emplear el fax o, incluso, llamadas telefónicas, alegando por ejemplo que el contacto habitual no está disponible en ese momento por la razón que sea.
Aunque la del CEO es la identidad más suplantada (en el 31% de los casos), no es la única. Según el informe de Trend Micro, a continuación se encuentra el presidente de la compañía, con un 17%; después está el director de operaciones (managing director) con un 15%, los directivos que aúnan ser CEO y presidente con un 13% y los directores generales (general manager) con un 4%. El 20% restante se divide en el resto de cargos directivos con capacidad para realizar una petición de este tipo que pueda ser aceptada como legítima por el empleado que recibe el mensaje.
Se trata, como ya he comentado antes, de ataques mucho más sofisticados de lo que es común, por lo que hay más riesgo de caer en ellos. Sin embargo, hay una medida tan sencilla como infalible para comprobar que, realmente, la petición es legítima y no un intento de fraude: llamar por teléfono a la persona que está pidiendo el dinero. Y es que, por mucha urgencia que se alegue en el mensaje, siempre hay dos, cinco o 30 minutos para hacer una llamada. Y es mejor eso, e incluso exponerse a una regañina por parte del directivo (si en realidad sí que era una petición real), que hacer un envío de muchos miles de euros a una cuenta de banco de unos estafadores. Y, por otra parte, ¿qué sentido tendría que un directivo se enfadara porque uno de sus empleados se muestra particularmente cuidadoso ante una petición inusual, y de la que no ha sido informado con anterioridad?
Imagen: Brett Keane
-
OpiniónHace 6 días
10 predicciones para los proveedores de servicios gestionados en 2025
-
NoticiasHace 7 días
AMD despedirá al 4% de su plantilla mientras se centra en IA y centros de datos
-
NoticiasHace 3 días
El Capitan es el nuevo superordenador más potente y rápido del mundo
-
NoticiasHace 7 días
La Comisión Europea multa a Meta con 798 millones por perjudicar a la competencia de Marketplace