La estafa del CEO es un ataque cibernético dirigido a empresas con el objetivo de engañar a sus empleados mediante la suplantación de identidad y así conseguir transferencias bancarias o información confidencial.
El fraude del CEO es un tipo de fraude online dirigido específicamente al director ejecutivo de una empresa. Se trata de uno de los ataques cibernéticos más perjudiciales para las empresas en la actualidad, ya que pueden comprometer las finanzas de la compañía y poner en riesgo su estabilidad.
Según el Informe Anual de Tendencias de Fraude de la Asociación Española de Empresas contra el Fraude (AEECF), el 47% de las organizaciones confirman haber sufrido las mayores pérdidas debido a las ciberestafas, una cifra superior al año anterior. Esto se debe en gran parte al trabajo remoto y al uso de las redes sociales.
Si tu empresa ha sido víctima de este tipo de estafa, también conocida como Man in the middle, la clave será la educación en ciberseguridad y extremar la seguridad del CEO. En este artículo, te vamos a explicar cómo funciona este ciberataque, cómo evitarlo y qué otras soluciones al fraude del CEO se pueden llevar a cabo.
¿Qué es el fraude del CEO?
El fraude del CEO es una técnica de suplantación de identidad, a menudo asociada con el phishing o el spear phishing, donde los estafadores o atacantes se hacen pasar por un alto ejecutivo de una empresa, normalmente el director general (CEO). De esta forma, tratan de engañar a los empleados para que compartan información sensible o realicen pagos fraudulentos.
-
Así funciona la estafa del CEO
La estafa del fraude del CEO es una técnica de ingeniería social muy sofisticada y así es su modus operandi:
- Investigación previa: Los ciberdelincuentes estudian la estructura interna de la empresa y las relaciones internas a través de redes sociales como Facebook, Linkedin o X (antes Twitter), así como correos electrónicos filtrados, bases de datos públicas e incluso proyectos recientes.
- Suplantación de identidad: Tras la investigación, usan direcciones de correo electrónico falsificados o comprometidos que parecen ser de un alto cargo, solicitando acciones urgentes como transferencias bancarias.
- Presión y urgencia: Los atacantes crean un escenario de urgencia para evitar que los empleados verifiquen la solicitud.
- Transferencia de fondos: El dinero es enviado a cuentas controladas por los delincuentes mediante transferencias fraudulentas, generalmente ubicadas en paraísos fiscales, lo que complica su recuperación.
-
Prácticas engañosas más frecuentes
Estas son las tácticas más habituales del phishing CEO, en las que se incluyen:
-
Técnicas de ingeniería social
Los atacantes manipulan psicológicamente a los empleados para que, bajo presión, cumplan órdenes aparentando venir de un superior. -
Creación de crisis ficticia
Se simulan situaciones de urgencia para que los trabajadores actúen rápidamente y sin verificar la autenticidad de las solicitudes. -
Suplantación de identidad digital
Los delincuentes utilizan correos electrónicos que parecen auténticos, cambiando caracteres mínimos o usando dominios muy similares a los reales. Muy rara vez suelen realizar llamadas telefónicas. -
Uso de cuentas bancarias en el extranjero
Los fondos robados se transfieren a cuentas situadas en países con regulaciones financieras laxas o paraísos fiscales -
Ataques de phishing
Correos electrónicos diseñados para aparentar ser de fuentes fiables que en realidad buscan obtener información sensible, como contraseñas o datos bancarios.
-
Ejemplo de casos de fraude del CEO
Un ejemplo común de la estafa del CEO es cuando un empleado del área financiera recibe un correo, aparentemente del CEO, del directivo o de algún cargo alto. En dicho correo, solicita una transferencia de forma urgente para cerrar una supuesta operación comercial o que paguen una factura. Estos correos fraudulentos incluyen un lenguaje formal y detalles específicos que hacen difícil detectar el engaño. Al seguir las instrucciones, los fondos son transferidos directamente a una cuenta de los ciberdelincuentes.
Conoce otros 7 ejemplos de phishing para protegerte en 2024.
Soluciones al fraude del CEO: pasos para recuperar los fondos
Si tu empresa ha sido víctima de un fraude CEO, es esencial tomar medidas con la mayor rapidez.
-
1. Contactar con tu banco de inmediato
Si eres un responsable o alto cargo de la empresa que ha sufrido la pérdida de fondos, informa al banco sobre la transacción fraudulenta para intentar bloquearla o revertirla si el dinero aún no ha sido retirado por los delincuentes.
-
2. Denunciar el caso a las autoridades
Presenta una denuncia en la Policía Nacional o en organismos especializados en delitos cibernéticos. Puedes denunciar el fraude del CEO en INCIBE (Instituto Nacional de Ciberseguridad), que asesora a empresas afectadas por este tipo de ataques. También puedes interponer una denuncia en la Guardia Civil.
-
3. Recopilar las pruebas
Conserva todos los correos electrónicos, registros de transacciones y comunicaciones relacionadas con el fraude. Esto será fundamental para las investigaciones legales y cibernéticas.
-
4. Buscar asesoría legal especializada
Recuperar el dinero robado puede ser complicado, especialmente si los fondos se transfirieron al extranjero. Contratar abogados especialistas en estafas será fundamental para iniciar acciones legales contra los responsables y presionar a los bancos para recuperar los fondos robados.
¿Cómo evitar el fraude del CEO en tu empresa?
Prevenir el fraude del CEO requiere una combinación de formación, procedimientos claros y tecnología de seguridad. Aquí te ofrecemos algunas recomendaciones prácticas:
- Implementar protocolos de verificación: Establece un protocolo de doble verificación para todas las solicitudes de transferencias, especialmente las que provienen de altos cargos. Esto puede incluir confirmaciones telefónicas directas o la aprobación de múltiples responsables.
- Formación a empleados: Realiza sesiones regulares de formación sobre phishing CEO y otros tipos de fraudes. Los empleados deben saber identificar correos sospechosos y comprender los riesgos asociados.
- Proteger las comunicaciones internas: Asegúrate de que las cuentas de correo electrónico corporativas estén protegidas con autenticación de dos factores (2FA) y monitoriza cualquier actividad inusual.
- Monitorear transacciones bancarias: Utiliza software de monitoreo para detectar transacciones atípicas o sospechosas.
¿Qué dice la ley sobre la estafa del CEO?
Tanto la normativa europea bajo la Directiva (UE) 2017/1371 del Parlamento Europeo y del Consejo, de 5 de julio del 2017 como la Ley de Servicios de Pago en España recogen que los bancos tienen la obligación de garantizar la seguridad de las transacciones financieras. Sin embargo, en muchos casos intentan eludir responsabilidades alegando que la transferencia fue autorizada por la empresa. No obstante, dependiendo de las circunstancias, es posible exigir al banco que devuelva el dinero si no aplicaron medidas de seguridad adecuadas.
Preguntas frecuentes
-
¿Qué es un ataque CEO?
Un ataque CEO es una técnica de estafa online donde los delincuentes suplantan la identidad de un alto cargo, como el director ejecutivo (CEO) para engañar a los empleados y obtener transferencias de dinero o información confidencial.
-
¿A qué tipo de ciberataque nos referimos con el fraude del CEO?
El fraude del CEO es un ataque de phishing o de spear phishing, que combina ingeniería social y suplantación de identidad para dirigirse específicamente a empresas.
-
¿Cómo se llama el fraude electrónico?
Hay varios tipos de fraudes por internet. El más común es phishing, pero también existe el vishing, smishing, whaling, estafa del CEO o fraude del CEO, Business Email Compromise (BEC) y Ransomware o secuestro de datos.