Del fraude del CEO a la falsa llamada del jefe: las ciberestafas más frecuentes en las empresas

La ciberdelincuencia no da tregua ni descanso. Ni a particulares ni a empresas, por lo que es necesario estrechar las precauciones en todos los ámbitos. En el del trabajo, hay cuatro estafas que son las que mayores riesgos generan a las compañías, según el informe de la Policía Nacional que se está distribuyendo a las asociaciones del sector para aumentar las vigilancias y evitar fraudes que pueden llegar a causar millones en pérdidas. Los delincuentes no solo usan ataques informáticos, sino también ingeniería social para, mediante manipulación psicológica y engaño, lograr que sus víctimas revelen información confidencial o lleven a cabo acciones que les permitan perpetrar el timo. Es el método más sencillo y menos peligroso para el estafador, por lo que se ha convertido también en uno de los más efectivos.

EL FRAUDE DEL CEO

Este tipo de estafa tiene como objetivo engañar a los empleados que tienen acceso a los recursos económicos de la empresa para que paguen una factura falsa o hagan una transferencia. Previamente, los delincuentes han obtenido información del director general, el CEO por sus siglas en inglés, en fuentes abiertas o utilizando software malicioso, malware, para comprometer su correo electrónico. El caso es que tienen conocimiento de la mecánica de funcionamiento de la compañía con la que pueden suplantar la identidad del alto ejecutivo y aprovechar que está en un viaje de negocios o que no se encuentra físicamente en las oficinas para ordenar una transferencia, siempre con la excusa de que se trata de una operación mercantil discreta, confidencial y urgente. El fraude se consuma si el receptor del mensaje, ante la premura y la petición de confidencialidad del que cree que es su jefe, no comprueba mínimamente la veracidad de la operación.

El correo electrónico comprometido

Es una variante del fraude del CEO en la que los atacantes han comprometido un correo electrónico de la empresa, pero en esta ocasión suplantan la identidad de un proveedor para que el trabajador de la compañía haga efectivo el pago de una factura falsa, mediante una transferencia, pensando que se trata de un cliente legítimo.

«ransomware» o secuestro de información

Los ciberestafadores, mediante un tipo de software malicioso, el conocido como malware, consiguen cifrar todo el contenido de la red corporativa y todos los dispositivos que están conectados a ella. A continuación, se ponen en contacto con los gestores de la empresa para solicitar un rescate económico a cambio de una contraseña de desbloqueo. Una de las amenazas frecuentes es que, de no pagarles la cantidad que exigen, publicarán toda la información confidencial de la compañía en la dark web. Las infecciones del malware se producen mediante un correo electrónico en el que se adjunta un archivo que, una vez que se abre, ejecuta e instala el programa. También se aprovechan de vulnerabilidades o configuraciones de seguridad deficientes en el sistema operativo, en los navegadores o en los dispositivos externos previamente infectados que se conectan a los equipos de la firma atacada.

la falsa llamada del jefe

La estafa, aunque pueda parecer increíble, es una de las más exitosas. El ciberdelincuente llama a la empresa y asegura al trabajador que le ha atendido que está en contacto telefónico por otra línea con el jefe que quiere comunicar que hay que entregar un paquete, pagar de forma inmediata un impuesto en la Agencia Tributaria o recoger una notificación. Ante el agobio, el empleado cae en el engaño y cree realmente que está recibiendo instrucciones directas de su superior, con el que no puede comunicarse en ese momento porque está utilizando el teléfono fijo y el móvil al mismo tiempo, lo que le impide llevar a cabo cualquier comprobación. En esas circunstancias, los estafadores finalmente consiguen que la víctima se desplace desde su puesto a establecimientos cercanos como estancos o centros comerciales donde compra tarjetas PaysafeCard, tarjetas regalo o incluso criptomonedas, para después remitir los códigos de los efectos adquiridos a través de un wasap.

Las señales que deben hacer saltar las alarmas para evitar este tipo de estafas son recibir llamadas o correos no solicitados y, sobre todo, desconfiar cuando se asegura que se está en comunicación directa con un alto cargo con el que en situaciones normales no se está en contacto. Más aún si el interlocutor pide absoluta confidencialidad y si ejerce presión para que se actúe con urgencia y sin atender a los procedimientos internos de la compañía. También en los casos en los que desliza comentarios aduladores, promesas de recompensa o amenazas de algún tipo.

Las empresas pueden poner cortafuegos, concienciando de estos peligros a los empleados y animándoles a ser precavidos cuando les soliciten un pago. Es importante establecer protocolos internos e implantar procedimientos tanto para verificar la legitimidad de las operaciones solicitadas como para actuar ante el fraude. Además, las compañías deben mejorar y actualizar la seguridad de sus sistemas, así como revisar el contenido de sus portales web, limitar la información que se ofrece y ser muy cauteloso en las redes sociales.

En el caso de los empleados, deben ser conscientes de la importancia de respetar de forma estricta los procedimientos de seguridad para pagos y compras, así como de revisar cuidadosamente las direcciones de correos electrónicos recibidos. Ante cualquier duda sobre órdenes de transferencia, lo mejor es consultar a un compañero experto y, por supuesto, jamás hay que abrir enlaces o adjuntos sospechosos que han llegado vía mail. Es importante también limitar la información que se da sobre el organigrama, la seguridad y los procedimientos de la empresa y ser cauto en las redes sociales.

En caso de recibir un correo electrónico sospechoso, los empleados deben informar siempre a los departamentos de informática de la compañía. En cuanto a las empresas, si han sufrido un intento de fraude, incluso si han logrado evitarlo, deben informar de ello a la Policía Nacional o a la Guardia Civil porque esos datos pueden ser muy importantes en investigaciones en curso.

---

---

---