El fraude del CEO: un ciberdelito en auge

fraude del CEODesde el año 2017 hasta hoy, se están sucediendo diversas advertencias y comunicados oficiales de la Policía Nacional y la Guardia Civil, así como de organizaciones internacionales como la INTERPOL, sobre el fraude del CEO. En algunas comunidades autónomas españolas, como Galicia y Canarias, este ciberdelito ha producido pérdidas empresariales de hasta 1 millón de euros. Tal delito consiste en una modalidad de phishing o suplantación en que un impostor sustituye al CEO de una empresa, lo que da lugar a un fraude en que aquel puede obtener pingües beneficios económicos a costa de la organización defraudada.

La Guía de notificación y gestión de ciberincidentes del Consejo Nacional de Ciberseguridad del Ministerio del Interior, alerta sobre los fraudes cuya finalidad es la suplantación. Este es el grupo de delitos al que pertenece el fraude del CEO. Dentro de la guía, se establece que la peligrosidad de esta estafa es de nivel medio. Sin embargo, si el phishing conlleva pérdida de datos, el nivel de peligrosidad se considera alto.

Además, la página web del Instituto Nacional de Ciberseguridad (INCIBE) concede a este asunto una importancia alta (nivel de prioridad 4).

Cómo se perpetra un fraude del CEO

El servicio de incidentes de INCIBE, INCIBE-CERT, ha detectado un número creciente de incidentes de esta modalidad de phishing.

El timo consiste en lo siguiente:

  • Un empleado de alta categoría o rango de la organización empresarial, o un contable, recibe un correo electrónico del CEO, presidente o director empresarial, solicitándole información confidencial sobre la cuenta bancaria de la empresa. Ello, con el pretexto de una transacción bancaria urgente y confidencial. Es un tipo de phishing conocido como whaling (pesca de ballena) por la magnitud del engaño y de sus nefastas consecuencias.
  • La diferencia entre la dirección real de correo electrónico del CEO suplantado, y la del impostor, es muy pequeña y sutil, por lo que hay que prestar atención para percibirla. En realidad, el suplantador está empleando una imitación de la dirección electrónica del responsable empresarial al que sustituye.
  • El suplantador aprovecha ocasiones en que el jefe está ausente o no accesible (viajes, reuniones, etc), para que sea más difícil contrastar la información.
  • Muchas veces el impostor emplea un programa maligno (malware) espía o spyware (como por ejemplo Perfect Keylogger, que puede monitorizar y grabar contraseñas) para así acceder al correo electrónico empresarial y remedar el estilo de escritura del jefe, su firma, y otros aspectos formales con los que poder confundir a los empleados.

Un ataque de ingeniería social

El fraude del CEO se considera asimismo un ataque de ingeniería social, muy frecuente además contra empresas que incrementan su competitividad mediante el posicionamiento web. Para ello, se siguen idénticos pasos que el timador de siempre: primero reconoce a su víctima, luego realiza un acercamiento, establece un contacto, y, finalmente, una confianza con la persona a la que va a timar.

Por supuesto, para lograr esto, el timador ha de dar los siguientes pasos que le permitan consumar estos ataques de ingeniería social:

  • Reúne toda la información posible sobre la empresa: departamentos, empleados, clientes. A veces, incluso realiza una llamada telefónica engañosa para lograr sus fines.
  • En un momento dado, aprovechará una situación concreta, o bien a través del nombre del banco habitual con el que se realizan las transacciones económicas, un proveedor de la empresa, o cualquier otra organización o excusa que le sirva para establecer una relación de confianza.
  • Así, mediante la manipulación de la persona a la que ha escogido como víctima, el estafador logra obtener información confidencial.

Las formas más habituales de manipulación de la víctima en un ataque de ingeniería social de estas características tienen lugar tocando de algún modo sus puntos débiles:

  • Vanidad y ego. Haciendo hincapié en su gran saber, talento, o de la gran confianza que les merece a los responsables de la empresa o al propio CEO, o convenciéndole de que va a recibir algún tipo de galardón o reconocimiento.
  • Respeto o temor a la autoridad. Se les exige algo por alguien que está por encima de ellos en cuanto a jerarquía, y deberán llevarlo a cabo. A veces, para obtener información confidencial que pueda servir para la estafa del CEO, el timador se hace pasar por una autoridad policial, por alguien de la Agencia Tributaria, etc.
  • La voluntad de ser útil de la persona empleada en un entorno laboral y empresarial.
  • Creando una situación apremiante o de urgencia que obligue a la persona a actuar cuanto antes, para así no poder considerar su actuación con detenimiento, y que su propia precipitación asegure el engaño.
  • El miedo a perder algo. Si no actúa ipso facto, la víctima no obtendrá la recompensa apetecida.

Como evitar la estafa del CEO

Es preciso tomar una serie de precauciones cuando se recibe un correo confidencial para llevar a cabo una transacción financiera con la cuenta bancaria de la empresa. Además, a este tipo de peticiones se les suelen poner apostillas harto sospechosas, tales como “¿puedo contar con tu discreción?” o “sólo podemos hablar por mail”. Así pues, la persona que recibe una comunicación electrónica de estas características ha de tomar las siguientes cautelas y realizar las siguientes comprobaciones:

  • Llamar al jefe o intentar contactarle por otra vía, para contrastar la veracidad del correo.
  • Comprobar la cabecera del email. Ello suele hacerse mediante la opción “Origen del mensaje”. En la estafa del CEO, lo habitual es que esta sea modificada. Las principales y fundamentales líneas de la cabecera de un correo electrónico incluyen, aparte de asunto y fecha (de escritura y de envío, o Delivery Date), remitente (From…) y receptor (to…), y el Return Path (sendero de retorno, es decir: la dirección para devolver el mail), además del Received (recibido): el acuse de recibo informático, por así decirlo, en que se consigna el servidor desde el que ha sido enviado el mensaje. A ello hay que agregar, como otro de los aspectos de mayor importancia en la cabecera de correo, el Message ID, o identificador único global (globally unique identifier: GUID) de cada mensaje electrónico. Pues bien: ha de tenerse en cuenta que todas estas líneas, menos la de Received, pueden ser fácilmente falsificadas.
  • Una vez comprobamos la cabecera, hemos de corroborar si, por ejemplo, la dirección de correo electrónico no se corresponde exactamente con la del remitente (por ejemplo, si en lugar de manuel@garcia.com, no será manuel@garcia.co), o bien si tal dirección se corresponde con un servidor o dominio de otro país cuya legislación al respecto deje importantes agujeros o sea directamente inexistente (por ello, abundan tantos alojamientos de ciberdelincuentes en países como la Federación Rusa -.ru-, México -.mx-, Nigeria -.ng-, Senegal -.sn, etc). Proliferan en estos casos, pues, los dominios de territorios donde se carece de DNSSEC (Domain Name System Security Extensions, capa de seguridad mediante firmas digitales de todos los implicados en la comunicación electrónica) y a menudo tampoco se posee IDN (nombre de dominio internacionalizado: aunque, ojo, este puede ser falsificado con objetivos fraudulentos de phishing, para que se asemeje mucho al de otro país que no es el del servidor del remitente). Sin embargo, otras veces los ciberdelitos de suplantación o engaño (spoofing) proceden con frecuencia de países que sí disponen de las correspondientes capas de seguridad en sus dominios, como es el caso Italia (.it, aunque este sí carece de DNSSEC), Rumanía (.ro), o la República Popular China (.cn), desde donde además se han dado casos recientes de espionaje industrial en la rama de la informática, y de venta internacional ilegal de productos informáticos.
  • Guardar copias y capturas de pantalla de los mensajes recibidos.

Amén de todo ello, hay que tener en cuenta que existen multitud de herramientas en Internet para comprobar la autenticidad del correo y de qué servidor procede: analizadores automáticos de cabeceras, buscadores de direcciones IP, etc. Muchas veces, al introducir una IP en un buscador especializado, nos muestra que el servidor no se corresponde con aquel al que la dirección del timador dice pertenecer (por ejemplo, una falsa dirección Gmail, cuya IP delatará que pertenece a un servidor que en realidad no es de Google).

Debemos estar alerta al respecto, porque este nuevo milenio y su revolución tecnológica nos deparan nuevos retos de ciberseguridad. Así pues, es imprescindible que adquiramos nociones y herramientas para saber defendernos.

Comparte esta información: Share on Facebook
Facebook
Share on Google+
Google+
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *