El fraude del CEO, la estafa en la que no debes caer

02/08/2021
¡Así como lo lees! Los ciberdelincuentes siguen sofisticando sus estrategias para atacar a pequeñas y grandes empresas. La estafa que tiene como objetivo engañar a los empleados hasta conducirlos a llevar a cabo una transferencia de dinero tiene nombre y se le conoce como el “fraude del CEO”. ¿Quieres saber más? Repasemos juntos las técnicas detrás de este tipo de fraude y algunos consejos prácticos para evitar ser víctima de estos malhechores.
Fraude del CEO
La crisis sanitaria producto del coronavirus ha disparado el uso de los dispositivos y del internet. Como consecuencia de ello, los ciberataques también han incrementado ubicando a nuestro país en el tercero más atacado de todo el continente europeo. Una asignatura pendiente que las empresas pueden mitigar contratando un buen seguro para ciberprotección e invirtiendo en ciberseguridad. Si te animas a proteger tu negocio de las personas malintencionadas que buscan en las vulnerabilidades de las empresas la oportunidad para sacar un beneficio económico, este artículo es para ti.

Realmente no es nuestro CEO intentando engañarnos. Se trata de ciberdelincuentes que se hacen pasar por la máxima figura de la empresa para engañar a los empleados y solicitar altas sumas de dinero con el pretexto de que se trata de una operación importante para la compañía.

Las principales víctimas son los empleados que tienen acceso a los recursos económicos y financieros de la empresa, específicamente, aquellos que están autorizados para realizar o aprobar transferencias de dinero. Suelen ser previamente estudiados por los delincuentes, quienes tienen preferencia por las PYMES dada que la relación entre el CEO y los trabajadores suele ser más cercana y directa. No obstante, ningún tipo de empresa está exenta de ser engañada.

Comúnmente, el primer contacto suele darse por correo electrónico, sin embargo, cualquier otra vía de comunicación (como el Whatsapp) puede convertirse en el vehículo perfecto para llevar a cabo la estafa. Y es que, los ciberatacantes han afinado sus técnicas: como ocurre con otros delitos de phishing, los hackers crean direcciones de correo electrónico muy similares a la de las personas por las que intentan hacerse pasar.

Para llevar a cabo estos ataques conocidos como de ingeniería social, los ciberdelincuentes estudian al detalle cómo funciona la empresa. De esta forma, podrán adaptar los mensajes para que resulten creíbles. El objetivo es lograr que el empleado revele información sensitiva como las claves de acceso a la banca en línea. Así es como lo hacen:

  • Envían un email haciéndose pasar por el CEO de la empresa. De hecho, suplantan la identidad en la cabecera del correo electrónico para hacerlo más fiable. En este email ponen en manifiesto la supuesta urgencia de llevar a cabo una operación confidencial. 

Presionaran al empleado a tomar la decisión en pocos minutos, por lo que el trabajador no tendrá tiempo suficiente para analizar si está o no actuando correctamente.

  • El ciberdelincuente insistirá en que se trata de un asunto secreto y confidencial. De esta manera evitarán que otros empleados puedan detectar el intento de fraude.
  • El estafador buscará la complicidad del empleado haciéndole creer que el éxito de la operación tendrá un impacto positivo en la compañía y que depende enteramente de él. La estrategia es poner al empleado al mismo nivel que el CEO.
  • Antes de solicitar la transferencia bancaria, algunos ciberdelincuentes suelen pedir los estados de cuentas. Así se aseguran de que la empresa esté en capacidad de responder a su petición económica.
  • Evitarán el contacto telefónico. El estafador convencerá a la víctima para que no intente contactar por teléfono, ya que podría ser descubierto al no reconocerse su voz.
  • Pondrá de excusa una operación estratégica para la empresa, un fichaje o un cambio de cuenta para domiciliar las nóminas del personal. Incluso, puede hacerse pasar por un proveedor que de forma urgente necesita cambiar la cuenta para un próximo pago.
  1. No perder los nervios y mantener la calma en todo momento.
  2. Ante la duda, es imprescindible revisar la dirección de correo electrónico e intentar contactar con el responsable por otros medios. Buscar otras señales de phishing como faltas ortográficas y enlaces extraños será de gran ayuda.
  3. En ningún caso debemos permitir que una confianza forzada nos empuje a tomar una decisión sin poder contrastar que se trate de una petición real.
  4. Proteger nuestros sistemas informáticos e invertir recursos en ciberseguridad es fundamental: copias de seguridad, sistemas operativos actualizados, conexiones cifradas, contraseñas seguras, etc.
  5. No publicar información relacionada con nuestro entorno laboral en redes sociales.
Cuando es negativo conlleva a que el resultado final también sea negativo y ello resta valor a la empresa o proyecto, por lo que no dudes en descartar tu inversión.

Una cosa que debes tener en mente es que el EBITDA no indica la liquidez que tiene una empresa, puesto que para su cálculo no se tienen en cuenta las ventas y compras que aún no se han hecho efectivas. El nivel de endeudamiento de la empresa tampoco se contempla en el cálculo del EBITDA. Esto implica que un resultado positivo puede estar relacionado con el apalancamiento para financiar la operación.

No olvides que para obtener una fotografía global del estado de la empresa, no basta con calcular el EBITDA. Considera otros aspectos como las inversiones realizadas, el endeudamiento adquirido y las ventas efectuadas.

  • Denunciar los hechos inmediatamente.
  • Recopilar toda la información que pueda facilitarle la labor a la Policía Nacional: anotar el correo electrónico o teléfono desde los que han contactado.
  • Anotar la cuenta bancaria en la que se ha realizado el ingreso del dinero.
  • Sensibilizar a los empleados fomentando buenas prácticas en cuanto a uso de la tecnología se refiere.
  • Implantar procesos seguros de doble verificación para la realización de transferencias bancarias.

Motiva a tus empleados a desconfiar de este tipo de comunicaciones que no suelen estar presentes en su día a día en el trabajo y en ningún caso, pospongas la contratación de un seguro para tu empresaque te ayude a hacerle frente a un ciberataque.

 

No te pierdas el mejor seguro de coches. Elige el seguro que más se adapta a tus necesidades y ahorra con Allianz.

#consejos #segurociberataques #ciberseguridad #phishing
¿Te llamamos?
Déjanos tu teléfono y nos pondremos en contacto contigo
Asesoramiento jurídico y médico
 Llama de lunes a jueves de 9.00h a 19.00h y viernes hasta las 18:00h