Desde 2013, las empresas estadounidenses han transferido involuntariamente más de 12 000 millones de dólares a los delincuentes que están detrás de los fraudes del CEO. Podrías pensar que nunca caerías en la trampa de un correo electrónico de aspecto sospechoso, pero los fraudes del CEO imitan meticulosamente a tu director general o director financiero y se salen con la suya robando los archivos y la información más preciados de tu empresa.
Índice
¿Cómo funciona el fraude del CEO? ¿Y qué puedes hacer ahora mismo para evitarlo? En esta publicación, te enseñaremos precisamente eso.
¿Qué es un fraude del CEO?
El fraude del CEO, también conocido como ataque de whaling, tiene como objetivo a los peces gordos de una empresa. En este tipo de ataque, un ciberdelincuente se hace pasar por un alto cargo de una empresa para robar información financiera y confidencial o acceder a los sistemas informáticos.
El fraude del CEO es similar al phishing en el sentido de que utiliza el correo electrónico y la suplantación de sitios web para engañar a empleados o clientes para que revelen información confidencial o transfieran dinero. Pero a diferencia del phishing, los fraudes del CEO hacen que el mensaje parezca provenir de un director general o alguien de igual rango. De este modo, los ciberdelincuentes confían en la obediencia de una persona a la autoridad para ejecutar su plan de robo.
Ejemplos de fraudes del CEO
Ahora que ya conoces los conceptos básicos, pongamos en contexto un fraude del CEO con algunos ejemplos.
La transferencia urgente
En un intento estresante de conseguir dinero gratis, el atacante envía un correo electrónico "urgente". Suele ser como un mensaje personal del jefe, para establecer confianza antes de pedir una transferencia urgente. La transferencia se debe hacer a una cuenta designada en un día determinado.
Probablemente estés pensando: "¿Por qué iba a hacerlo sin antes acercarme a mi jefe y confirmarlo?". Pues bien, imaginemos una organización mundial de más de 10 000 personas. Con subdirectores, altos directivos y responsables de operaciones y finanzas en cada departamento que se ocupan constantemente de pagos de todo tipo, una solicitud de transferencia de dinero puede ue no sea nada fuera de lo común.
Una solicitud de envío de archivos
Imagina que empiezas tu jornada laboral con 45 correos electrónicos sin leer. Los examinas rápidamente y te ocupas de todo lo urgente para poder seguir con tu día. Tu jefe necesita que le envíes un documento que contiene los registros de pagos e incluye los datos de la tarjeta de crédito de la empresa. Lo envías sin pensártelo dos veces, sobre todo porque tu "jefe" necesita tu ayuda. Y así, sin más, con un mínimo esfuerzo por parte del delincuente, te han estafado con un fraude del CEO.
Fraudes del CEO: Un desastre multimillonario para los CEO
Los altos ejecutivos de las grandes empresas son fáciles de suplantar: su voz, su tono y su ubicación suelen estar en Internet para que el mundo los vea. Así, los delincuentes pueden copiarlos y aprovecharse de ellos. Los fraudes del "CEO" derriban casualmente cortafuegos y esquivan incluso las defensas de TI más complejas con tal facilidad que pueden hacer que una persona se sienta totalmente incompetente, razón por la que a menudo no se denuncian. Entre el 60 y el 70 % de los directores financieros de EE. UU. han caído en un ataque que les ha causado pérdidas multimillonarias. Pero como admitir haber "caído en la trampa" podría ser demasiado embarazoso, se sofoca cualquier posibilidad de poner remedio.
Miles de empresas se han acostumbrado a amortizar miles de millones cada año en "pérdidas evitables". Pero evitar un fraude el CEO es tan sencillo como el propio ataque.
¿Cómo evitar el fraude del CEO?
Los fraudes del CEO utilizan la ingeniería social para engañar a las víctimas y conseguir que entreguen fondos. Pero no te dejes intimidar por un término que significa simplemente "aprovecharse de la naturaleza humana". Desde este nuevo ángulo, las curas para los fraudes del CEO pasan a ser de bajo coste y gran eficacia:
Desestigmatizar la denuncia de fraudes del CEO
Independientemente de las defensas técnicas que se establezcan, un sistema es tan bueno como las personas que lo respaldan. Un fraude del "CEO" empieza y acaba con un empleado desprevenido, por lo que hay que formarle para que identifique los correos electrónicos sospechosos y pida siempre una segunda opinión cuando se trate de transferencias de efectivo o envío de datos sensibles. Con una formación periódica destinada a desestigmatizar la notificación de ciberamenazas, seguro que se observan mejoras. Creará un sistema de alerta que dará prioridad a las personas, inspirará al personal para que se mantenga alerta y reducirá las posibles ciberaccidentes.
Doble autorización para las transferencias bancarias
Hablamos de buscar una segunda opinión cuando alguien exige un pago. Hacer que dos personas firmen las transferencias salientes siempre ayuda a prevenir un ataque inminente.
Los altos cargos deben tener cuentas privadas en las redes sociales
Los fraudes del CEO se dirigen a los peces gordos de una empresa. Si un miembro sénior publica un post sobre una barbacoa que hizo el fin de semana, el agresor podría utilizar esta información para persuadir a la víctima de que es el auténtico.
Invertir en un buen programa de ciberseguro
Las empresas deben contratar un buen plan de seguros contra estos riesgos, especialmente uno que incluya una póliza de fidelidad o contra la delincuencia. Un buen programa de ciberseguro te cubrirá también frente a ataques de ingeniería social o ransomware.
Cifrar tu información confidencial
Además de fomentar todas las cosas obvias, como una buena seguridad del correo electrónico y la comprobación cruzada de demandas y reclamaciones sospechosas, una segunda precaución nunca hace daño a nadie. Protege y asegura la información confidencial de tu empresa con NordPass. NordPass utiliza el cifrado XChaCha20 Cifrado XChaCha20 para almacenar los datos de la tarjeta de crédito y las contraseñas del sistema de tu empresa, encerrándolos en una cámara acorazada en la nube, protegida con cerraduras biométricas. En caso de que un miembro del personal caiga en la trampa de un mensaje de fraude, la información más comprometedora de tu empresa permanecerá protegida con una contraseña maestra a la que solo podrán acceder los miembros autorizados.
Las pequeñas empresas pueden sufrir enormes pérdidas por estos fraudes del CEO, ya que no pueden permitirse el lujo de amortizar las pérdidas como hacen las grandes corporaciones. Comenzar con un buen gestor de contraseñas para empresas mantendrá tus archivos sensibles a salvo de accesos casuales y ayudará a disuadir cualquier daño irreversible causado por fraudes del CEO.