Los fraudes están a la orden del día. Las personas que están detrás de ellos se afanan en engañar y tienen una potencia creativa que obliga a estar siempre precavidos. El fraude del CEO es uno de ellos. Es un tipo de phishing, es decir una técnica en la que se suplanta a una persona, entidad o servicio, que consiste en este caso en hacerse pasar por un alto cargo de la empresa -director ejecutivo (CEO)-, o cualquier otra persona con un cargo relevante dentro de la organización.
El modus operandi consiste en enviar un correo electrónico en el que se solicitan datos confidenciales. O se pide que se lleve a cabo una transferencia económica, o un pago determinado. Parece así, de buenas a primeras, una estafa de difícil realización. Pero los ciberdelincuentes se toman su tiempo y crean una estrategia adecuada para que el receptor del mencionado correo electrónico acabe picando.
Para empezar, el ciberdelincuente estudia detalladamente sus objetivos. Para ello, analiza a las potenciales víctimas y, al mismo tiempo, investiga los datos de la empresa donde ha puesto sus ojos. Con la información recabada de la empresa, se dispone para el ataque. Lo primero es suplantar el correo electrónico con una identida falsa al estilo de correodelceodelaempresa@nombredelaempresa.net
Ahora viene la fase más sensible, al solicitar el pago a un tercero, siempre de forma urgente y confidencial. El objetivo es presionar a la víctima trasladando un carácter de urgencia. Una vez recibidas las instrucciones, el empleado engañado lleva a cabo los pagos solicitados a las cuentas que controla el estafador. En resumen, las fases en una suplantación del CEO son las que se mencionan a continuación:
1.- Identificación de la víctima
Se selecciona la persona a la que se quiere suplantar, se investiga el sector de la empresa a la que pertenece, su red de contactos, los colaboradores, las transacciones habituales, etc.
2.- Suplantación
Se compromete la seguridad de su cuenta o se registra un dominio muy similar que se utilizará para enviar correos electrónicos que parezcan legítimos.
3.- Contacto
El atacante se pone en contacto con un empleado con permisos para realizar transferencias o acceder a información sensible, mediante técnicas de ingeniería social para así engañarle.
4.- Éxito o fracaso
El empleado puede tener la reacción de llevar a cabo lo que se le solicita sin dudarlo ya que, por lo general, el mensaje suele tener un carácter de urgencia. Es por ello por lo que el empleado no se para a comprobar la dirección desde la que se ha enviado el email, si el correo está correctamente escrito estructural y gramaticalmente o si la petición tiene sentido dentro del comportamiento habitual de la empresa.
5.- El impacto
Los números de cuenta que utilizan los ciberdelincuentes suelen ser de terceros países o paraísos fiscales con unas políticas distintas a las europeas. Una legislación diferente, unida a las diferencias horarias y de idioma, convierte las cancelaciones de transferencias o el rastreo del dinero en una misión muy complicada.