“Soy el CEO y necesito tu ayuda”

29 octubre, 2020

Ciberseguridad MTP

Seguridad Informática para empresas

El Manager de Ciberseguridad de MTP, Fernando Saavedra, nos explica en este post en qué consiste la conocida como “Estafa del CEO”, que tiene como objetivo de sus ataques a empleados de compañías con acceso a operaciones financieras. También nos recuerda la importancia de la concienciación de todos los empleados para asegurar la ciberseguridad.




    “Soy el CEO y necesito tu ayuda”. Con una frase similar a ésta empiezan todas las conversaciones de la “Estafa del CEO”, que es un tipo de engaño que está teniendo mucho auge en los últimos tiempos. En muchas ocasiones ha abierto titulares de informativos y periódicos; de hecho, se estima que este fraude ha superado los 23.000 millones de euros estafados en todo el mundo, según datos del FBI.

    La estafa va dirigida a empleados de compañías que tienen acceso a operaciones financieras. En la misma, bajo diferentes técnicas y medios se intenta hacerse pasar por el CEO o un puesto de dirección similar para que el trabajador realice operaciones urgentes con mucha confidencialidad y urgencia.

    La mayoría de las veces, las empresas objetivo son medianas o grandes, ya que en muchas ocasiones tienen una comunicación mucho menos cercana o fluida que una pequeña y la sospecha de engaño de las victimas es menor.

    Hay que tener en cuenta que lo más importante del ataque es que juega con la buena voluntad de las personas. ¿O acaso alguien dudaría en atender una solicitud como la que dicta el título de este post “Soy el CEO y necesito tu ayuda”? Seguro que todos nosotros pondríamos todo lo que estuviera a nuestro alcance por ser rápidos y eficaces en la gestión que se nos ha encomendado.

    Timo cambiante

    Este timo es conocido por lo cambiante y personalizado que es. Los delincuentes suelen aprovechar alguna vulnerabilidad que afecte a esas personas -como el robo de credenciales- para acceder a sus equipos y/o entornos de trabajo para tener acceso a toda la información posible de la organización, aunque en ocasiones basta simplemente con la información pública de los empleados o de la firma para elaborar la estrategia de ataque a seguir.

    Como comentábamos, los estafadores usan diferentes técnicas de ingeniería social para el engaño, desde el envío/recepción de correos fraudulentos (phishing), hasta llamadas telefónicas (vhishing) e incluso en algunas ocasiones por mensajería instantánea como WhatsApp o similares.

    Para saber que técnica utilizar y que sea lo más efectiva posible, los criminales suelen realizar un estudio previo de cuáles son las comunicaciones más utilizados en la compañía y realizan cada una de las técnicas o una combinación de éstas para que sean lo más similares a la realidad, y así no ser descubiertos.

    En los últimos años son muchísimas las empresas que han sido víctimas de este ataque, si bien es cierto que muy pocas de ellas dan a conocer las consecuencias sufridas por miedo sobre todo a la correspondiente perdida de reputación. Pero esta estafa esté día a día haciéndose efectiva en todo tipo de compañías, llegando en muchas ocasiones a generar grandes pérdidas.

    Por ello, es fundamental tener en las empresas una buena política de concienciación de seguridad de las personas que la componen para que estos sean el principal escudo contra este tipo de ataques.

    Hacemos a continuación algunas recomendaciones específicas para que las posiciones que puedan realizar operaciones financieras no sean víctima de este fraude:

    • Se debe de verificar siempre la dirección del remitente en un correo o el teléfono de la persona que nos llama o escribe.
    • Sospechar por defecto, sobre todo de alguna operativa que no estemos acostumbrados a hacer o de cualquier compañero con la que no estamos acostumbrados a trabajar.
    • Comprobar con otras personas (compañeros o responsables) los datos de cualquier operación financiera antes de su ejecución.
    • Tener especial cuidado con amenazas o recompensas que nos puedan ofrecer y siempre desconfiar de las mismas.
    • Definir procedimientos de seguridad para la realización de cualquier pago e incluso implementar en los mismos sistemas de doble autorización de todas las operaciones.

    Por último, queremos recordar que a la mínima sospecha de que alguna acción similar a la que hemos comentado nos ocurra, no se debe ejecutar la operación financiera sin verificar la legitimad de la misma por algún medio, visto que es un delito que lleva mucho tiempo entre nosotros. Es mejor en estos casos pecar de prudencia.

    Fernando Saavedra

    Manager de Ciberseguridad MTP

    Ver más historias