El timo del CEO está causando miles de millones de pérdidas

17 noviembre, 2023 0 Por JLHA

La cosa puede ir a peor con el empleo de técnicas de deepfake para perpetrarlo. Veamos un ejemplo clarificador de la forma de proceder.

El director general de una empresa se pone en contacto, vía e-mail, con uno de los responsables del departamento financiero. La compañía, le dice, está negociando una operación que puede ser clave para su futuro. Se ha acordado transferir una suma importante a otra empresa, pero el director general advierte que hay que hacerlo rápido y con discreción para que todo salga bien. Como le pide su jefe, este ejecutivo se pone en contacto con un abogado encargado de los trámites, quien le comunica la cuenta y condiciones en las que debe transferir el dinero. Halagado por la confianza que el “mandamás” de la compañía ha depositado en él, cumple el cometido discreta y eficientemente.

Todo es totalmente falso. Ni el director general ni el abogado son quienes dicen ser. Para cuando la víctima se da cuenta de lo que ha pasado, el dinero ya ha desaparecido. Se la han jugado con el timo del CEO, una estafa digital en la que los ejecutivos y empleados con autoridad para mover dinero de sus empresas están cayendo cada vez más.

Esquemáticamente, sinteticemos cómo se lleva a cabo este tipo de fraude.

  • Un estafador envía correos electrónicos haciéndose pasar por un alto cargo de la compañía, por ejemplo, el director general.
  • Conoce bien cómo funciona la organización.
  • Solicita que se haga un pago urgente.
  • Usa expresiones como: “confidencialidad”; “la compañía confía en ti”; “ahora mismo no estoy disponible”; etc.
  • Hace referencia a una situación delicada, por ejemplo, una inspección fiscal; o a una oportunidad de futuro halagüeño, por ejemplo, una fusión o una adquisición de importancia; etc.
  • A menudo solicita un pago internacional a bancos fuera de Europa.
  • El empleado transfiere los fondos a una cuenta controlada por el estafador.
  • Las instrucciones sobre cómo proceder puede darlas posteriormente una por medio de una tercera persona o por correo electrónico.
  • Solicita al empleado que no siga los procedimientos de autorización habituales.

El timo ha conseguido golpes sonados en todas partes, también en España. La jefa de Administración de la Empresa Municipal de Transporte de Valencia, transferencia a transferencia, desvió cuatro millones de euros de dinero público a Hong Kong por orden de un estafador que suplantó a un abogado de la firma Deloitte.

El FBI prepara informes especiales sobre el timo del CEO. En el año 2017 elevó la primera alerta y cifraba en 5.000 millones de dólares el dinero estafado a las empresas mediante este fraude. Al año siguiente lo cifró en 12.000 millones. En el año 2020 lo estimó en 36.000 millones.

Aunque el rango de profesionalidad de los cibercriminales varía, en esta estafa es fácil ver un alto grado de dedicación. Un solo golpe puede llevar tres meses de estudio del terreno. Se empieza mediante el robo de credenciales para acceder al sistema de correo electrónico y conocer el vocabulario que se utiliza y cómo funcionan los pagos, quién los pide y quién los autoriza. Una vez elegido el objetivo y el plan de acción, se perfecciona el disfraz. Pueden servirse de una cuenta de e-mail falsa o hakeada de un directivo, o bien de un perfil de WhatsApp con fotos e información robada. Los ciberataques cuyo objetivo es hacerse con información de ejecutivos de alto rango son una tendencia al alza en los últimos años. Al final, se aplica la tecnología punta al timo. Se está imponiendo el por teléfono y con la propia voz del presidente o del director general mediante deepfakes.

Recordemos el modus operandi, que siempre es el mismo: “Te intentan transmitir una sensación de urgencia y de discreción, de que eres tú el elegido dentro de la empresa para ayudar al director general a hacer una operación que es súper importante y de la que nadie más se puede enterar. Con esta excusa, intentan que te saltes las normas internas a la hora de hacer un pago”.

Las recomendaciones de los cuerpos de seguridad para evitar ser víctima de esta estafa son, para las empresas, concienciar del riesgo a los empleados y diseñar procesos adecuados para autorizar pagos que verifiquen la identidad de los solicitantes. Para los empleados, sobre todo, no saltarse las normas de la compañía a la hora de hacer un pago bajo ninguna circunstancia y consultar ante cualquier comunicación sospechosa.

En FFACT, en el apartado TO THE EXCELLENCE encontrará un interesante cuestionario de 40 preguntas sobre “el aprovechamiento de internet” que le ayudará a reflexionar sobre este importante tema.

Feliz semana a tod@s.

CategoríaEl aprovechamiento de Internet
EtiquetasAprovechamiento de internet Deepfakes FFACT Malware To the Excellence

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *