Icono del sitio MTP

“Soy el CEO y necesito tu ayuda”

  • MTP
    • Ciberseguridad MTP

    Ciberseguridad MTP

    “Soy el CEO y necesito tu ayuda”. Con una frase similar a ésta empiezan todas las conversaciones de la “Estafa del CEO”, que es un tipo de engaño que está teniendo mucho auge en los últimos tiempos. En muchas ocasiones ha abierto titulares de informativos y periódicos; de hecho, se estima que este fraude ha superado los 23.000 millones de euros estafados en todo el mundo, según datos del FBI.

    La estafa va dirigida a empleados de compañías que tienen acceso a operaciones financieras. En la misma, bajo diferentes técnicas y medios se intenta hacerse pasar por el CEO o un puesto de dirección similar para que el trabajador realice operaciones urgentes con mucha confidencialidad y urgencia.

    La mayoría de las veces, las empresas objetivo son medianas o grandes, ya que en muchas ocasiones tienen una comunicación mucho menos cercana o fluida que una pequeña y la sospecha de engaño de las victimas es menor.

    Hay que tener en cuenta que lo más importante del ataque es que juega con la buena voluntad de las personas. ¿O acaso alguien dudaría en atender una solicitud como la que dicta el título de este post “Soy el CEO y necesito tu ayuda”? Seguro que todos nosotros pondríamos todo lo que estuviera a nuestro alcance por ser rápidos y eficaces en la gestión que se nos ha encomendado.

    Timo cambiante

    Este timo es conocido por lo cambiante y personalizado que es. Los delincuentes suelen aprovechar alguna vulnerabilidad que afecte a esas personas -como el robo de credenciales- para acceder a sus equipos y/o entornos de trabajo para tener acceso a toda la información posible de la organización, aunque en ocasiones basta simplemente con la información pública de los empleados o de la firma para elaborar la estrategia de ataque a seguir.

    Como comentábamos, los estafadores usan diferentes técnicas de ingeniería social para el engaño, desde el envío/recepción de correos fraudulentos (phishing), hasta llamadas telefónicas (vhishing) e incluso en algunas ocasiones por mensajería instantánea como WhatsApp o similares.

    Para saber que técnica utilizar y que sea lo más efectiva posible, los criminales suelen realizar un estudio previo de cuáles son las comunicaciones más utilizados en la compañía y realizan cada una de las técnicas o una combinación de éstas para que sean lo más similares a la realidad, y así no ser descubiertos.

    En los últimos años son muchísimas las empresas que han sido víctimas de este ataque, si bien es cierto que muy pocas de ellas dan a conocer las consecuencias sufridas por miedo sobre todo a la correspondiente perdida de reputación. Pero esta estafa esté día a día haciéndose efectiva en todo tipo de compañías, llegando en muchas ocasiones a generar grandes pérdidas.

    Por ello, es fundamental tener en las empresas una buena política de concienciación de seguridad de las personas que la componen para que estos sean el principal escudo contra este tipo de ataques.

    Hacemos a continuación algunas recomendaciones específicas para que las posiciones que puedan realizar operaciones financieras no sean víctima de este fraude:

    Por último, queremos recordar que a la mínima sospecha de que alguna acción similar a la que hemos comentado nos ocurra, no se debe ejecutar la operación financiera sin verificar la legitimad de la misma por algún medio, visto que es un delito que lleva mucho tiempo entre nosotros. Es mejor en estos casos pecar de prudencia.

    Fernando Saavedra

    Manager de Ciberseguridad MTP

    Salir de la versión móvil