Según el último informe de evaluación del crimen organizado por internet presentado por la Europol, el 2016 Internet Organised Crime Threat Assessment (IOCTA) (1), uno de los ciberdelitos más habituales actualmente es el llamado CEO Fraud (o fraude al CEO).
Es una variante refinada del phishing que está orientada a atacar a las empresas, no al particular, puesto que la cantidad de dinero que maneja una empresa no puede compararse con la que tiene un particular, un ciudadano de a pie, y por tanto los beneficios del ciberdelincuente son mucho mayores.
¿En que consiste el fraude al CEO?
El fraude al CEO consiste en hackear la cuenta de correo electrónico de un directivo de la empresa para poder espiar sus emails y detectar cualquier movimiento bancario relacionado con la empresa, así como sus interlocutores tanto dentro de su misma empresa como clientes y proveedores. A la vez los ciberdelincuentes suelen dedicarse a seguir e investigar al directivo tanto físicamente como a través de las redes sociales, ya sea Facebook, twitter, Linkedin.
Una vez están familiarizados con el entorno profesional del directivo y su cargo dentro de la empresa (muchas veces las mismas empresas informan sobre los cargos en sus páginas webs), envían un correo suplantando la identidad del directivo. La manera de hacerlo es muy sencilla, buscan una que sea muy parecida a la original que pueda inducir al equívoco, por ejemplo, “director@aucalbusines.com” en lugar de la correcta “director@aucalbusiness.com” (con una “s” menos).
El destinatario puede ser o bien el contable encargado de las transferencias bancarias, o bien algún cliente. El objetivo del correo, pedir que se haga una trasferencia económica de una cantidad considerable (pero dentro de las que acostumbran a realizar normalmente) a una cuenta bancaria diferente de la habitual, con la excusa de que es un tema puntual y es necesario ingresar el dinero en esa cuenta concreta, o bien que por problemas con la otra cuenta a partir de ahora será esa la nueva.
Diferentes modalidades de fraude al CEO
Algunas veces la cuenta del correo hackeada no es la del CEO sino la del contable, y por tanto las transferencias se van ordenando directamente desde ella, espiando posibles operaciones en curso y cambiando la cuenta destino del dinero.
También ha habido casos en los que los ciberdelincuentes sabían que la empresa estaba pendiente de ser auditada, llamaban simulando ser el auditor, y pedían datos confidenciales como números de cuentas bancarias, con la excusa de realizar la auditoría. Al haber investigado el personal, funcionamiento y entorno de la empresa, los ciberdelincuentes manejan con familiaridad los procedimientos normales de esta, y manifiestan una seguridad que no hace desconfiar a las víctimas de su engaño.
En otro caso denunciado los ciberdelincuentes una vez hackeado el correo del directivo, enviaban emails a otros miembros de la empresa, o a clientes, simulando compartir un documento en Google Drive, donde se requería que se identificaran para poder acceder. De esta manera conseguían más credenciales para poder continuar hackeando cuentas y seguir con las estafas.
Una última modalidad del fraude al CEO detectada es la que se basa en la información que los ciberdelincuentes obtienen de las relaciones comerciales de la empresa a través del correo espiado. Una vez conocen los pedidos que habitualmente se realizan, pueden simular una nueva petición, y ordenar que se haga una transferencia por la petición “fantasma” a una cuenta concreta.
El fraude al CEO en números
Aunque hace ya unos 3 años que cientos de directivos de empresas han sido objeto del “fraude al CEO”, hasta el año pasado no se empezó a conocer y dar nombre a este nuevo tipo de ciberdelito.
En Europa fue a principios de 2016 cuando salió a la luz que un banco belga había sido víctima de una estafa de cerca de 70 millones de euros, y una empresa austríaca también habría perdido 50 millones por el mismo tipo de fraude.
En Estados Unidos tampoco se quedan atrás, en menos de dos años fueron detectados 7.000 casos de esta nueva modalidad de ciberdelito, lo que ha representado unas pérdidas a las empresas, y por tanto un beneficio para los ciberdelincuentes, de más de 750.000 dólares.
A mediados de 2016, en España, la Policía Nacional detuvo a 42 personas que formaban parte de una red que había conseguido estafar más de 1,8 millones de euros mediante el “fraude al CEO” (2). Según el jefe de delitos tecnológicos de la Guardia Civil cada semestre se llega a detectar 15 casos de este tipo de ciberdelito.
¿Cómo evitar el “fraude al CEO”?
Los expertos en temas de ciberseguridad insisten en que la mejor prevención ante estos ataques continua siendo la formación de los empleados y directivos, acompañada de una buena seguridad informática en la empresa.
También es necesario establecer procedimientos seguros para realizar los pagos de la empresa, así como una constante revisión de todas las transferencias para poder detectar cualquier anomalía.
Hay que ser cuidadosos con la cesión de datos sensibles a través de los sistemas informáticos, así como con los archivos recibidos por email si el origen es desconocido.
Por último, si recibe un email del proveedor cambiando el número de cuenta habitual donde realiza las transferencias de pago, contacte telefónicamente con el proveedor para confirmar que el cambio de cuenta es correcto, y que no se trata de un engaño.
¿Sabías de este método de estafa?
¿Has sido víctima de este ciberdelito?
Formación relacionada
Máster en Dirección y Gestión de la Ciberseguridad?
Fuentes referenciadas:
(1) https://www.europol.europa.eu/sites/default/files/documents/europol_iocta_web_2016.pdf
(2)https://www.europapress.es/nacional/noticia-cosido-desvela-hay-42-detenidos-estafar-mas-18-millones-fraude-ceo-20160505135919.html
Fuentes consultadas:
https://www.ituser.es/seguridad/2016/10/europol-presenta-su-informe-sobre-el-cibercrimen-en-europa
https://www.delitos-informaticos.net/delitos/estafas/empresarios-y-directivos-en-el-foco-de-estafadores-por-internet
https://www.delphosdetectives.com/2016/04/fraude-al-ceo-nuevo-metodo-estafa-al-alcance-todos/
https://www.elconfidencial.com/tecnologia/2016-02-15/el-fraude-al-ceo-le-cuesta-miles-de-euros-a-decenas-de-pymes-espanolas_1151597/
https://www.elconfidencial.com/tecnologia/2017-02-06/fraude-ceo-espana-emails-ciberseguridad-incibe_1326354/