¿Has recibido un email extraño del CEO de tu empresa? Cuidado con el «fraude del CEO»

Un  día recibes un email del CEO de tu empresa, pero ves que es un poco extraño. ¡Podría tratarse de “Fraude del CEO”! Te explicamos en qué consiste y cómo se puede prevenir y solucionar con un aliado de ciberseguridad para las empresas. 

Qué es el fraude del CEO

El fraude del CEO tiene como objetivo engañar a los empleados que tienen acceso a los recursos financieros para que paguen una factura falsa o realicen una transferencia bancaria desde la cuenta de la empresa. Todo esto siempre bajo alguna excusa importante o urgente para la empresa.

Ejemplos del «Timo del CEO»

En 2020, Zendal, el grupo farmacéutico, fue víctima de un fraude del CEO por valor de 9 millones de euros, 

El jefe de finanzas recibió correos que parecían ser del jefe de la empresa, donde solicitaba urgentemente varias transferencias de gran valor para establecer contactos con una multinacional. Todo esto puso en peligro a toda la empresa, y solo por tres correos.

Otro ejemplo fue el caso del director financiero de Xoom, que fue víctima de la estafa del CEO, y transfirió 30 millones de dólares a cuentas bancarias en el extranjero antes de darse cuenta de que era una estafa. 

¿Cómo funciona?

El timo del director general suele hacerse por correo electrónico empresarial, pero también puede hacerse por WhatsApp u otro medio de comunicación a través del cual el director de la empresa pueda hacer una solicitud. 

Al igual que en otros ataques de phishing, los atacantes suelen utilizar direcciones de correo electrónico cuyo nombre es similar al real y suplantar así la identidad del remitente, para que la víctima no se dé cuenta a primera vista.

Muchas empresas emplean la versión compartida de Google Drive, un sistema que ofrece seguridad gracias a factores como la autenticación de dos factores. Los atacantes aprovechan este sistema de comunicación para contactar con los empleados. A diferencia de Gmail, el filtro antispam no se aplica igualmente a las notificaciones de Google Drive.

Aumentan las estafas de Business Email Compromise

Estos ataques son cada vez más frecuente y solo en Estados Unidos las pérdidas por estafas de BEC en 2021 fueron de más de 2 mil millones de dólares, según un informe del FBI. Estamos hablando de un aumento de más del 30% en comparación con el año 2020 y hasta 10 veces más en comparación al 2015. 

Según Eutimio Fernández en IT Digital Security, exdirector de ciberseguridad en Cisco España, “la amenaza BEC (Business Email Compromise) es actualmente el método más lucrativo y rentable para obtener, mediante el fraude, grandes cantidades de dinero de los negocios”. 

Por este motivo, contar con un aliado en ciberseguridad que asesore a los departamentos de IT de las empresas, ya sean grandes multinacionales o PYMES, es fundamental para la seguridad de los negocios. Formación, asesoramiento, estrategia y protocolos de actuación frente a ataques BEC son algunos de los servicios que empresas como IP DATA te pueden ofrecer. 

Suplantación de la identidad por correo: cómo protegerse

La alerta frente a los ataques BEC ha llegado a tal punto que la Europol y Mossos d’Esquadra advierten de este problema y aconsejan una serie de acciones para proteger a las empresas frente a esta ciberamenaza:

Como empresa

• Sé consciente de los riesgos y asegúrate de que los empleados también están informados de ellos.
• Anima a tus equipos a tener cuidado al solicitar los pagos.
• Establecer protocolos internos para los pagos.
• Establecer un procedimiento para verificar la legitimidad de las solicitudes de pago recibidas por correo.
• Introducir procedimientos para combatir el fraude.
• Revisa el contenido del sitio web de tu organización, limita la información y ten cuidado en las redes sociales.
• Mejora y actualiza la seguridad de sus sistemas.

Como empleado

• Sigue estrictamente los procedimientos de seguridad establecidos para los pagos y las compras. ¡No te saltes ningún paso y no te dejes presionar!
• Comprueba siempre cuidadosamente las direcciones de correo electrónico cuando manejes información sensible o realices transferencias.
• Si tienes dudas sobre una orden de transferencia, consulta a otro colega.
• Nunca abras enlaces o archivos adjuntos sospechosos que hayas recibido por correo. Ten especial cuidado cuando revises tus correos electrónicos personales en los ordenadores de la empresa.
• Limita la información y ten cuidado en las redes sociales.
• No compartas información sobre el organigrama, la seguridad y los procedimientos de su empresa.

Saber cómo protegerse contra las ciberamenazas es un trabajo a tiempo completo, pero IP Data puede ayudar a cualquier empresa a protegerse contra los ataques de phishing y ofrecer las mejores soluciones contra el fraude del CEO.