Fraude del CEO: recupera el dinero robado de tu empresa

Ejecutivo preocupado trabajando en un ordenador como víctima de un fraude del CEO
¡Cuidado! Tu empresa podría estar en riesgo

La estafa del CEO es un ataque cibernético dirigido a empresas con el objetivo de engañar a sus empleados mediante la suplantación de identidad y así conseguir transferencias bancarias o información confidencial.

El fraude del CEO es un tipo de fraude online dirigido específicamente al director ejecutivo de una empresa. Se trata de uno de los ataques cibernéticos más perjudiciales para las empresas en la actualidad, ya que pueden comprometer las finanzas de la compañía y poner en riesgo su estabilidad.

Según el Informe Anual de Tendencias de Fraude de la Asociación Española de Empresas contra el Fraude (AEECF), el 47% de las organizaciones confirman haber sufrido las mayores pérdidas debido a las ciberestafas, una cifra superior al año anterior. Esto se debe en gran parte al trabajo remoto y al uso de las redes sociales.

Si tu empresa ha sido víctima de este tipo de estafa, también conocida como Man in the middle, la clave será la educación en ciberseguridad y extremar la seguridad del CEO. En este artículo, te vamos a explicar cómo funciona este ciberataque, cómo evitarlo y qué otras soluciones al fraude del CEO se pueden llevar a cabo.

Índice del artículo

¿Qué es el fraude del CEO?

El fraude del CEO es una técnica de suplantación de identidad, a menudo asociada con el phishing o el spear phishing, donde los estafadores o atacantes se hacen pasar por un alto ejecutivo de una empresa, normalmente el director general (CEO). De esta forma, tratan de engañar a los empleados para que compartan información sensible o realicen pagos fraudulentos.

La estafa del fraude del CEO es una técnica de ingeniería social muy sofisticada y así es su modus operandi:

  1. Investigación previa: Los ciberdelincuentes estudian la estructura interna de la empresa y las relaciones internas a través de redes sociales como Facebook, Linkedin o X (antes Twitter), así como correos electrónicos filtrados, bases de datos públicas e incluso proyectos recientes.
  2. Suplantación de identidad: Tras la investigación, usan direcciones de correo electrónico falsificados o comprometidos que parecen ser de un alto cargo, solicitando acciones urgentes como transferencias bancarias.
  3. Presión y urgencia: Los atacantes crean un escenario de urgencia para evitar que los empleados verifiquen la solicitud.
  4. Transferencia de fondos: El dinero es enviado a cuentas controladas por los delincuentes mediante transferencias fraudulentas, generalmente ubicadas en paraísos fiscales, lo que complica su recuperación.

Estas son las tácticas más habituales del phishing CEO, en las que se incluyen:

Un ejemplo común de la estafa del CEO es cuando un empleado del área financiera recibe un correo, aparentemente del CEO, del directivo o de algún cargo alto. En dicho correo, solicita una transferencia de forma urgente para cerrar una supuesta operación comercial o que paguen una factura. Estos correos fraudulentos incluyen un lenguaje formal y detalles específicos que hacen difícil detectar el engaño. Al seguir las instrucciones, los fondos son transferidos directamente a una cuenta de los ciberdelincuentes.

Reunión empresarial discutiendo una posible estafa del CEO y fraude al CEO.

Conoce otros 7 ejemplos de phishing para protegerte en 2024.

Soluciones al fraude del CEO: pasos para recuperar los fondos

Si tu empresa ha sido víctima de un fraude CEO, es esencial tomar medidas con la mayor rapidez.

Si eres un responsable o alto cargo de la empresa que ha sufrido la pérdida de fondos, informa al banco sobre la transacción fraudulenta para intentar bloquearla o revertirla si el dinero aún no ha sido retirado por los delincuentes.

Presenta una denuncia en la Policía Nacional o en organismos especializados en delitos cibernéticos. Puedes denunciar el fraude del CEO en INCIBE (Instituto Nacional de Ciberseguridad), que asesora a empresas afectadas por este tipo de ataques. También puedes interponer una denuncia en la Guardia Civil.

Conserva todos los correos electrónicos, registros de transacciones y comunicaciones relacionadas con el fraude. Esto será fundamental para las investigaciones legales y cibernéticas.

Recuperar el dinero robado puede ser complicado, especialmente si los fondos se transfirieron al extranjero. Contratar abogados especialistas en estafas será fundamental para iniciar acciones legales contra los responsables y presionar a los bancos para recuperar los fondos robados.

¿Cómo evitar el fraude del CEO en tu empresa?

Prevenir el fraude del CEO requiere una combinación de formación, procedimientos claros y tecnología de seguridad. Aquí te ofrecemos algunas recomendaciones prácticas:

  • Implementar protocolos de verificación: Establece un protocolo de doble verificación para todas las solicitudes de transferencias, especialmente las que provienen de altos cargos. Esto puede incluir confirmaciones telefónicas directas o la aprobación de múltiples responsables.
  • Formación a empleados: Realiza sesiones regulares de formación sobre phishing CEO y otros tipos de fraudes. Los empleados deben saber identificar correos sospechosos y comprender los riesgos asociados.
  • Proteger las comunicaciones internas: Asegúrate de que las cuentas de correo electrónico corporativas estén protegidas con autenticación de dos factores (2FA) y monitoriza cualquier actividad inusual.
  • Monitorear transacciones bancarias: Utiliza software de monitoreo para detectar transacciones atípicas o sospechosas.

¿Qué dice la ley sobre la estafa del CEO?

Tanto la normativa europea bajo la Directiva (UE) 2017/1371 del Parlamento Europeo y del Consejo, de 5 de julio del 2017 como la Ley de Servicios de Pago en España recogen que los bancos tienen la obligación de garantizar la seguridad de las transacciones financieras. Sin embargo, en muchos casos intentan eludir responsabilidades alegando que la transferencia fue autorizada por la empresa. No obstante, dependiendo de las circunstancias, es posible exigir al banco que devuelva el dinero si no aplicaron medidas de seguridad adecuadas.

¿Tu entidad bancaria no te devuelve los fondos robados por el fraude del CEO?
En Asoban Abogados analizamos tu situación sin compromiso en la primera llamada.

Preguntas frecuentes

Un ataque CEO es una técnica de estafa online donde los delincuentes suplantan la identidad de un alto cargo, como el director ejecutivo (CEO) para engañar a los empleados y obtener transferencias de dinero o información confidencial.

El fraude del CEO es un ataque de phishing o de spear phishing, que combina ingeniería social y suplantación de identidad para dirigirse específicamente a empresas.

Hay varios tipos de fraudes por internet. El más común es phishing, pero también existe el vishing, smishing, whaling, estafa del CEO o fraude del CEO, Business Email Compromise (BEC) y Ransomware o secuestro de datos.

Escrito por:
Francisco José Quevedo
Contacta con Asoban Abogados
Primera consulta GRATIS
Categorías
Entradas relacionadas