El fraude del CEO, una estafa que pone en jaque a tu negocio

¿Qué es el fraude del CEO?

El fraude del CEO es un tipo de ataque de ingeniería social, lo que significa que la manipulación y las mentiras son protagonistas de esta ciberestafa. El delincuente suplanta la identidad del directivo de una empresa, envía un correo electrónico falso al colaborador que se encarga de hacer pagos y le convence de que haga una transferencia urgente por una suma alta de dinero.

Para que este fraude sea exitoso, los ciberatacantes se dan el trabajo de estudiar a las víctimas, la empresa, el empleado al que van a engañar e incluso a altos cargos. ¿Y para qué tanta preparación? Porque deben ser muy convincentes para lograr que un empleado piense que su jefe le está pidiendo hacer un pago común y corriente.

Las tres fases de este tipo de estafa

El fraude del CEO es una estafa que los ciberdelincuentes planifican con mucho tiempo de antelación para ser más persuasivos al momento de llevarla a cabo. Podemos dividirla en 3 fases:

1. Selección: los ciberdelincuentes hacen una investigación previa de la empresa a la que van a robar. Para ello, se apalancan de información pública (como páginas web) o de publicaciones en redes sociales de los propios empleados. De esta manera, arman un rompecabezas para saber quién es quién en la organización y cómo esta funciona.
2. Manipulación: el cibercriminal se hace pasar por un directivo de la empresa usando una dirección de correo parecida a la original. A continuación, le escribe al empleado para pedirle que haga un movimiento de dinero urgente, del que no puede hablar con sus compañeros del trabajo o su jefe directo.
3. Fraude: al sentirse presionado por la autoridad y la confidencialidad de la petición, el empleado no comprueba que la solicitud es legítima, efectúa la transacción bancaria y es ahí donde ese dinero de la empresa puede darse por perdido.

Cómo reconocer un fraude del CEO

¡Afortunadamente, es muy sencillo prevenir un fraude del CEO! Lo más importante es prestar atención y usar el sentido común para identificar un intento de estafa en tu empresa. Estas son las principales señales que lo delatan:

• Correo no solicitado: un alto ejecutivo escribe, de la nada, directamente al empleado para solicitar una transferencia bancaria.
• Manipulación: el cibercriminal escribe con un sentido de autoridad y urgencia para que el empleado haga la transferencia sin pensarlo dos veces. Suele apalancarse de la confidencialidad, diciendo que se trata de una situación delicada para la empresa y que no confían en nadie más.
• Dirección del correo: probablemente esta sea la señal más evidente. Los cibercriminales usan correos casi iguales a los del jefe, pero con ligeras modificaciones en el nombre o el dominio.
• Falsas promesas: a veces se suelen prometer recompensas o falsos reconocimientos por hacer la transacción. Incluso podría haber amenazas de consecuencias negativas si no se cumple con la supuesta orden.
• Pagos inusuales: el presunto jefe solicitará que se haga una transacción no habitual, a una cuenta en el extranjero o pidiendo que se ignoren los procesos de pago habituales.

5 recomendaciones para prevenir este ciberataque en tu empresa

La seguridad informática de un negocio depende de todos sus colaboradores. Por eso, es importante formarlos en temas de ciberseguridad  para que sepan reconocer y prevenir el fraude del CEO y otros ataques informáticos que también son recurrentes. Además, te recomendamos:

1. Contactar por otro medio: ante cualquier sospecha de correo falso, lo mejor es contactar con esa persona por un medio distinto para comprobar la veracidad de su solicitud.
2. Implementar 2FA: el factor de doble autenticación es una herramienta ideal que sirve para comprobar la identidad de una persona que ingresa a una cuenta o quiere hacer una transacción.
3. Prestar atención al remitente: es muy importante revisar que la dirección de correo electrónico y el dominio sean los mismos que los del jefe. Ante cualquier diferencia, es mejor ignorar el correo y reportarlo.
4. No compartir información de la empresa: evita incluir direcciones de correo electrónico, organigrama o ubicación geográfica en redes sociales, ya que los cibercriminales usan estos medios para armar su plan.
5. No ceder a la presión: evita que te sorprendan, en especial si se trata de hacer transacciones no habituales, como transferencias al extranjero o pagar montos altos fuera de las fechas habituales.