Los ciberdelincuentes suplantan a un directivo a través de mails dirigidos a los empleados que tengan la facultad de realizar transferencias y movimientos bancarios de la empresa
La empresa de seguridad Grupo Control, experta en sistemas de vigilancia, personal de seguridad y alarmas de seguridad, difunde las recomendaciones lanzadas por la Policía Nacional para evitar la estafa conocida como el fraude del CEO. Este delito, cada vez más extendido, está afectando a numerosas empresas españolas. Consiste en suplantar la identidad de altos directivos para conseguir que otros empleados, con capacidad de realizar transferencias y asumir operaciones bancarias, realicen transacciones económicas a los delincuentes.
Miguel C. Luengo, director nacional de seguridad física de Grupo Control, alerta de los “cada vez mayores riesgos para las empresas de ser víctimas de delitos que se llevan a cabo a través de la red. Es necesario que las empresas, independientemente de su dimensión, estén al día en materia de seguridad cibernética y conozcan y apliquen las recomendaciones de la Policía Nacional, en este caso para evitar el fraude del CEO”.
Luengo recuerda que, como apunta la Policía Nacional, las principales pautas que hay que seguir para no ser víctimas de este delito se resumen en “establecer un sistema de verificación en dos pasos antes de ejecutar una transferencia, la actualización del software, y de la información que da la Policía Sobre nuevas estafas como reglas fundamentales para esquivar a estos delincuentes”.
Un mail del “jefe” dirigido al departamento financiero
Los cibercriminales envían correos electrónicos, suplantando a alguno de los altos directivos de la empresa, en los que mediante engaños simulan una situación de emergencia para la mercantil y que requiere su actuación rápida, confidencial y fuera de los cauces habituales. En esos mails, el falso directivo da instrucciones al empleado responsable de la realización de transferencias y cuentas bancarias para que realice unos movimientos de dinero que serán ingresados, sin saberlo, en las cuentas controladas por los delincuentes o por mulas preparadas al efecto.
Para que este ataque a la empresa sea exitoso, los estafadores deben tener identificados a los empleados que tienen la potestad de realizar las transferencias y, además, confeccionar correos electrónicos mediante técnicas de phishing que aparenten provenir de la propia empresa y del directivo al que suplantan. Para elaborar estos mails, los ciberdelincuentes logran acceder a las cuentas de correo de la empresa para identificar a los empleados a los que intentarán engañar y para copiar la forma de redactar y firmar los mails.
Los correos fraudulentos son enviados desde la propia cuenta del directivo o bien a través de otra dirección de correo casi idéntica a la del jefe, tan sólo variando un carácter, por ejemplo, si la cuenta real del directivo es ceo@empresavictima.es, envían los correos desde la cuenta ceo@empresavictima.ru, controlada por los delincuentes.
Procedimientos seguros para evitar el fraude del CEO
Para evitar caer en este tipo de estafas se han de implantar procedimientos seguros para realizar pagos, de manera que esté implicada más de una persona, es decir, que exijan doble verificación para asegurarse de la veracidad del mensaje.
Consejos previos:
- Establecer unos protocolos de actuación dentro de la propia empresa respecto a las transferencias de dinero.
- Fijar un sistema de doble verificación antes de ejecutar órdenes sensibles.
- Formar y dar directrices concretas a los empleados en función de su nivel de responsabilidad.
- Estar informados: la Policía Nacional difunde a través de sus perfiles en redes sociales de las nuevas modalidades de estafas y fraudes y las pautas seguras para evitarlos.
- Mantener reuniones con los Jefes de Seguridad y con los Directores de Cumplimiento Normativo (Compliance Officer) y asociaciones de empresarios.
- Adoptar medidas de seguridad en las comunicaciones: cautela al abrir mails de desconocidos; valorar la información empresarial o corporativa que se publica en redes, actualizar el software de los equipos utilizados por el CEO y especial atención a las conexiones a través de WiFi abiertas.
Medidas a adoptar durante las llamadas o transacciones
- Sospechar cuando les meten prisa (el defraudador suele aprovechar momentos de “guardia baja de la víctima”: vacaciones, fines de semana, horarios fuera de los habituales, etc).
- Fijarse en la redacción de algunos correos, dado que los mismos se traducen al idioma correspondiente, con traductores on-line, y suelen producirse incorrecciones.
- Comprobación minuciosa de las direcciones de los correos electrónicos para verificar si son los auténticos de la empresa.
- Sospechar de las solicitudes de transferencia sólo con intercambios de correo o si cambian cuentas habituales, verificar antes por otro medio fiable previamente establecido.
- Sistemas de comprobación con protocolo doble check (correo + teléfono).
- Contacto directo con el CEO.
Si has sido víctima del fraude CEO
- Anotar correos y teléfonos.
- Anotar las cuentas en las que se ha ingresado.
- Recopilar toda la información.
- Denuncia los hechos.
En resumen: desconfía, informa a superior y comprueba
- Desconfiar de llamadas directas del CEO, o de otras personas fuera de tu rango de actuación, los cuales en condiciones normales te realizan las notificaciones pertinentes a través de tu superior inmediato.
- Informar a tu superior de la operación a realizar o, en última instancia, si estás totalmente convencido que la orden proviene directamente del CEO, no dudar a la hora de solicitar una entrevista con él o llamada, de forma que te dé la confirmación de la operación en persona.
- Comprobar bien las direcciones de correo aportadas, puesto que suelen tener alguna variación, con respecto a los auténticos. Estamos tan acostumbrados a ver los correos con las direcciones auténticas que cuando recibimos un correo con una variación mínima no nos damos cuenta de ella, puesto que no solemos comprobar la dirección completa, y nos solemos quedar en el principio y el final.
Desde la empresa de seguridad Grupo Control recuerdan que ante cualquier duda o indicio de que este delito se esté perpetrando se ponga rápidamente en conocimiento de la Policía Nacional.