Utilizamos cookies propias y de terceros para mejorar nuestros servicios. ¿ Estas de acerdo en continuar ?

902 033 733
Área Privada

Canal actualidad

'Fraude al CEO', el email que está costando miles de euros a empresas españolas

0 comentarios
martes, 16 de febrero de 2016
Suplantar a un alto directivo para estafar grandes sumas de dinero a grandes empresas pero también a medianas y pequeñas. La técnica también se emplea en España

Unos ladrones mandan un mail al contable de una empresa, haciéndose pasar por un alto directivo que le ordena una transferencia millonaria a una cuenta en China. El contable obedece ciegamente y la empresa pierde miles de euros. O millones. Es el 'fraude al CEO' y está creciendo como nunca 'gracias' a la tecnología. Cientos de empresas de todo el mundo lo están denunciando. En España, se ceba en las pymes. 

 

A finales de enero, un banco belga anunciaba que le habían robado 70 millones de euros con el 'fraude al CEO'. Pocos días después, un constructor austríaco de sistemas para aeronaves afirmaba haber perdido 50 millones con el mismo engaño. "En España empezó hace un par de años y tenemos cada vez más casos, nosotros detectamos unos 15 cada semestre", asegura Alberto Redondo, Jefe de Delitos Tecnológicos de la Guardia Civil.

 

Un banco belga perdió 70 millones de euros con esta técnica. Pocos días después, a un constructor le estafaron 50 millones con el mismo engaño

 

A nivel mundial son cientos las empresas, grandes y pequeñas, que han sido estafadas. No hay estadísticas en nuestros país pero sí en Estados Unidos, donde el FBI lo tipifica como 'Business Email Compromise' (Compromiso de Correo Empresarial). Desde octubre de 2013 hasta agosto de 2015 se han denunciado más de 7.000 casos, con unas pérdidas de 750.000 millones de dólares. Entre enero y agosto de 2015 se incrementó un 270%.

 

José Selvi, 'hacker' blanco en la empresa británica NCC Group, explica en qué consiste este fraude: "El atacante suplanta la identidad de una persona con alto poder de decisión (el Director Ejecutivo o el Financiero) y aprovecha alguna ocasión en la que este no esté accesible, como puede ser un viaje, para usurpar su identidad, con un correo que parezca ser el 'email' personal del directivo, una llamada falsa o alguna técnica similar".

 

El Jefe de Delitos Tecnológicos añade otra modalidad, más extendida en España: "Mediante redes sociales o también accediendo al ordenador de los directivos, investigan sus relaciones comerciales con empresas y simulan una petición". La última estafa de este tipo que ha visto la Guardia Civil "simulaba ser la empresa que normalmente compraba bobinas de cobre a otra y hizo un pedido que se entregó en un punto intermedio. También lo hacen con dinero: piden un adelanto para gastos", explica Redondo.

 

Los ladrones hacen un seguimiento al directivo en el mundo físico, para saber dónde vive y trabaja, y en las redes sociales, para descubrir con quién se relaciona profesionalmente, cómo habla y su contexto personal. Según el nivel técnico de los criminales, el seguimiento puede ser más profundo, explica Redondo: "Pueden 'hackear' sus cuentas, la wifi de su casa, la wifi pública del bar donde desayuna.. o, si saben qué periódico lee, pueden atacar sus servidores DNS para que crea estar visitando el periódico mientras le introducen un virus".

 

Falsas auditorías

 

Con toda esta información recopilada y analizada, incluidos los protocolos de la empresa, horas de mayor o menor trabajo, empieza el fraude propiamente dicho. En los últimos casos detectados por el Grupo de Delitos Tecnológicos, los delincuentes impersonan a los directivos usando direcciones de correo electrónico que puedan inducir al equívoco. Por ejemplo: si la dirección correcta del directivo es luis@elconfidencial.com, mandan el mensaje desde luis@confidencial.com. En él, piden a uno de sus clientes que "por esta vez" haga la transferencia a una cuenta diferente de la de siempre.

 

La Guardia Civil ha visto otras variantes: los ladrones saben que una empresa está a punto de ser auditada y la llaman simulando ser el auditor, para pedirle todo tipo de datos confidenciales con la excusa de hacer la auditoría, como números de cuentas bancarias y otros datos. Los botines que se llevan son considerables. En el caso de las bobinas de cobre, la empresa víctima, de 20 trabajadores, perdió 140.000 euros.

 

La Guardia Civil recomienda un sistema de doble verificación antes de ejecutar órdenes sensibles

 

"Las empresas más grandes y con proyección global son las más apetecibles para los estafadores porque están acostumbradas a transferir grandes cantidades de dinero a países 'exóticos'", afirma Manel Medina, aunque el mayor número de víctimas son las pequeñas y medianas empresas, con una seguridad más relajada. Las estadísticas fijan en un 10% el número de empleados que caerían en esta trampa. "Si entre ellos hay uno que tenga poderes para autorizar transferencias de dinero, es suficiente", afirma Medina.

 

Seguir los protocolos y tener sentido común

 

El cumplimiento estricto de los protocolos de la empresa debería servir como defensa ante el 'fraude al CEO'. También que los empleados no obedezcan ciegamente una orden porque parezca venir de un directivo. "Si se pide una transferencia sólo con intercambios de correo o se cambian cuentas habituales hay que sospechar y llamar por teléfono para confirmar", afirma el Jefe de Delitos Tecnológicos.

 

Además, asevera Redondo, hay que fijarse en la redacción de algunos correos. Aunque hay bandas nacionales dedicadas a este fraude, también pululan algunas de Europa del Este que traducen los mails al español con Google Translate y "les chirría el castellano". Otra recomendación de la Guardia Civil es que "para órdenes sensibles debe haber un doble sistema de verificación". Asegurar el portátil del CEO y usar el sentido común son también buenos consejos.

 

Manel Medina incide además en la importancia de formar a los empleados, "desde el de la limpieza hasta la cúpula directiva". El CEO de la empresa Centrify, que ha sufrido diversos intentos de fraude de este tipo, aporta una original idea: "Compra los dominios que sean variaciones del de tu compañía y puedan usar los timadores para confundir a tus empleados".

 

Fuente: elconfidencial.com

Tu opinión nos interesa

Nombre:  *
Email:  * (No será publicado)
Comentario:  *

No hay ningún comentario, sé el primero en comentar!