Lozano (Incibe): “El fraude del CEO es hoy cuando más impacto está teniendo”

Imagina ir a trabajar y encontrarte con un correo de tu director en el que se te pide que realices lo antes posible una operación financiera que es confidencial y urgente. El lenguaje es el que usaría tu CEO, lo que te pide entra dentro de tus funciones y está relacionado con la actividad de la empresa. Se excusa diciendo que no estará disponible en las próximas horas pero te apremia a realizar la transferencia. ¿Qué harías?

Esta es la esencia del fraude del CEO, una estafa que ha costado millones de euros a empresas en todo el mundo. Una de ellas es la EMT en València a la que le fueron sustraídos más de 4 millones de euros antes de darse cuenta de que se trataba de un engaño.

«El fraude del Eco es un incidente que lleva circulando 3 o 4 años»

“El fraude del CEO es un incidente que lleva circulando 3 o 4 años, pero es a día de hoy cuando más impacto está teniendo”, expone Marco Lozano, responsable de Servicios de Ciberseguridad en el Instituto Nacional de Ciberseguridad (Incibe), quien añade que ahora se está conociendo más gracias a la popularidad de los medios de comunicación.

Apunta que a diferencia del phishing no se realiza de manera masiva, es un ataque dirigido cuyo impacto económico es muy alto por lo que “lo consideramos de importancia” además indica que se han ido incrementando en los últimos años. “Dentro del centro de respuesta a incidentes detectamos este tipo de fraude, no solo que se haya materializado, sino intentos del mismo”, apunta Lozano.

¿En qué consiste?

Como explican desde el Incibe, este engaño, también conocido como whaling por tratarse de phishing dirigido a ‘peces gordos’, basa su funcionamiento en enviar un correo fraudulento a algún empleado de alto rango, contable o con capacidad de acceso a datos sensibles, información personal o bancaria, haciéndole ver que el remitente es el CEO o máximo mandatario de su organización. Este mensaje suele pedir ayuda para realizar una operación financiera confidencial y urgente.

“Básicamente se puede dar de dos maneras, o bien adueñándose de la cuenta de una persona con capacidad estratégica dentro de la organización o realizando una suplantación de identidad”, añade el responsable del Incibe quien apunta que “es relativamente sencillo” suplantar identidades mediante el correo electrónico debido a la falta de seguridad en el protocolo del mismo.

“Los fraudes del CEO son ataques dirigidos”, apunta, además, Lozano. Recalca que a diferencia del phishing, hay mucho más esfuerzo por parte de los ciberdelincuentes ya que esperan un mayor rédito de la estafa.

¿Cómo prevenir estos ataques?

Señalan desde el Instituto Nacional de Ciberseguridad que este tipo de fraudes están basados en técnicas de ingeniería social por lo que la mejor forma de evitarlos es concienciar a los empleados para que los reconozcan y los eliminen.

También es aconsejable implementar procedimientos seguros para realizar pagos, de tal manera que sean necesarias al menos dos personas o dos medios de comunicación distintos, como correo y teléfono, para poder ejecutarlos.

Indica Lozano que se puede introducir sistemas como la confirmación de voz, pero que ya han detectado casos donde se llega incluso a suplantar esta. “Hasta la confirmación verbal vía Telefónica puede suponer un riesgo”, apunta. Por ello, señala que desde el Incibe empezarán a recomendar una confirmación a través de métodos que permitan la visualización completa de la persona siempre y cuando no sea posible la confirmación en persona.

El fraude de RRHH

Por último, desde el servicio de respuesta a incidentes de Incibe, alertan que están detectando un número creciente de casos similares al fraude del CEO pero que afecta al departamento de recursos humanos.

Se trata de un timo que suplanta la identidad de los trabajadores de una empresa para ponerse en contacto con el departamento de RRHH y solicitar un cambio de cuenta bancaria para recibir su nómina. La nueva cuenta es propiedad de los ciberdelincuentes que de este modo recibirán el ingreso mensual del empleado.

Esta técnica es conocida como email spoofing y se basa en la suplantación de identidad del remitente. Esto es posible si la cuenta del remitente ha sido comprometida o simplemente emulando el dominio legítimo del remitente mediante técnicas de cybersquatting.