Ciberseguridad · 6 minutos de lectura

Así son las campañas de fraudes CEO vía WhatsApp

Campaña fraude CEO

Uno de los fraudes más peligrosos que se están dirigiendo en los últimos años hacia las empresas es el conocido como fraude del CEO. El objetivo de este ataque no es otro que engañar a los responsables de finanzas de las empresas para que realicen una transferencia importante de dinero a una cuenta, normalmente en el extranjero. El contacto puede producirse por varias vías, aunque la más común es el correo electrónico. Además últimamente han surgido nuevas campañas de este tipo por mensajería de WhatsApp. Debido a esta alerta, vamos a explicar cómo son las campañas de fraudes del CEO vía WhatsApp.  

Índice

  1. ¿Qué es el fraude del CEO?
  2. ¿Cómo detectar el fraude del CEO?
  3. ¿Cómo evitar el fraude del CEO?
  4. He sido víctima del fraude del CEO, ¿qué hago?

¿Qué es el fraude del CEO?

Se trata de un tipo de fraude de ingeniería social, en el que los atacantes tratan de engañar a un responsable intermedio de la empresa, normalmente alguien con capacidad ejecutiva para poder realizar pagos, transferencias, etc. Es aquí donde los ciberdelincuentes se hacen pasar por un directivo de alto nivel de la empresa, de ahí el nombre de fraude del CEO, ya que suplantan este tipo de identidades de altos cargos para solicitar transferencias. 

Para que la suplantación tenga posibilidades de éxito lo normal es que los ciberdelincuentes hayan recopilado datos de la empresa, de sus correos, utilicen datos de proveedores, etc. Esta información pueden haberla conseguido mediante ataques previos, comúnmente de phishing, o en fuentes abiertas de Internet. Así, una vez obtenidos algunos datos que les permitan ofrecer credibilidad, tratan de completar el engaño. 

La información se utiliza para dirigir el ataque cuando los ciberdelincuentes saben que este directivo, este CEO o alto cargo, está de viaje o fuera de la empresa. De este modo, contactan con el empleado del área financiera, vía WhatsApp en este caso (aunque no debemos olvidar que se puede recibir por otras vías), y le solicitan de forma urgente una transferencia para completar una importante operación

La formación de los trabajadores, clave para garantizar la ciberseguridad en las organizaciones

Normalmente, los atacantes insisten mucho en que se trata de algo confidencial y, sobre todo, urgente; alegando que es importante transferir el dinero para cerrar una operación. Sin embargo, no se debe olvidar que pueden utilizar cualquier otro pretexto, como el pago de facturas de un proveedor o a cualquier regularización de pagos.  En casos de este tipo, lo que hace el suplantador es utilizar la información que ha logrado obtener de facturas. Eso sí, previo cambio del IBAN de la cuenta habitual donde se realiza la transferencia. 

En los casos de ataques más sofisticados, pueden utilizar WhatsApp para enviar mensajes de voz trucados que suplantan la identidad del directivo. Es decir, un deepfake de audio, que es muy complicado de detectar excepto que exista un contacto directo y frecuente con este responsable de la empresa. 

Aunque se ha mencionado sobre todo la vía de mensajería de texto, los ciberdelincuentes también pueden llevar a cabo este ataque mediante vishing. Una llamada telefónica fraudulenta donde suplantan la identidad del CEO y donde también puede hacer uso del deepfake.

Por otra parte, también es importante prevenir este tipo de estafas en el futuro también en videollamadas, donde el deepfake podría llegar a suplantar la imagen de una persona, además de su voz. Para frenarlo, hay que sospechar de cualquier llamada no realizada desde una dirección oficial de la compañía, aunque los rasgos faciales y la voz coincidiesen con la persona suplantada.

¿Cómo detectar el fraude del CEO?

Lo primero que debería levantar sospechas es que el procedimiento para realizar una transferencia o un pago no es el habitual. Lo normal no es que un directivo solicite por WhatsApp (o correos no oficiales) que se realice un pago. En las empresas de mayor tamaño, ni siquiera suelen tener un contacto estrecho entre estos directivos y los empleados del área financiera. 

Además, hay dos aspectos clave que deberían hacer sospechar siempre: la solicitud de absoluta confidencialidad y el carácter de urgencia. Se trata de una estrategia enfocada a obtener el dinero lo antes posible sin las verificaciones oportunas. 

Por otra parte, en los ataques menos elaborados, se pueden recibir mensajes de WhatsApp que contengan errores en la escritura. No precisamente erratas, sino incoherencias gramaticales fruto de una traducción automática. 

Por último, es importante saber que, para intentar convencer y desestabilizar al empleado, los cibercriminales pueden llegar a utilizar amenazas de despido si no se realiza la transferencia, más o menos veladas, así como también recompensas y adulaciones que logren su objetivo final. Ante este tipo de actuación, lo correcto es ignorar el mensaje (o colgar el teléfono) y reportar el intento de ataque lo antes posible a un superior.

Las claves de la ciberseguridad: concienciación, protección y respuesta

¿Cómo evitar el fraude del CEO?

La primera precaución que se debe tomar es la doble verificación. Lo ideal es contactar con la persona que ha solicitado el pago, pero no a través del mismo medio por el que se realizó el primer contacto. Es decir, si están pidiendo la transferencia por el canal de WhatsApp, mejor llamar por teléfono directamente. En ocasiones, al tratarse de altos cargos, esta doble verificación es complicada. Sin embargo, bastará con confirmarlo con otro alto cargo cercano o con su asistente personal.

En el caso de que mediante una llamada no nos respondan o no sea posible confirmar la petición, algo que podría ser probable si este directivo está viajando al extranjero, se puede acudir a otro responsable de rango similar para que verifique dicha operación o intentar ponerse en contacto por otra vía con la persona suplantada. Por esta razón los atacantes insisten tanto en la cuestión de la confidencialidad, ya que son conscientes de que si esto se verifica con más personas, se destapará el intento de fraude. 

En el caso de que la transferencia se solicite para el pago a un proveedor, es imprescindible verificar el IBAN y, en caso de observar cambios, contactar directamente con el proveedor para confirmar dicho cambio. 

Por último, hay que tener precaución a la hora ir a enlaces que llegan a través de correo electrónico o por WhatsApp. Ante cualquier duda, mejor cotejar la información o consultar con el departamento informático de la empresa.

Campaña fraude del CEO

He sido víctima del fraude del CEO, ¿qué hago?

El primer paso es contactar con un superior o con el departamento encargado de la ciberseguridad en nuestra empresa, incluso en el caso de que el fraude no haya tenido éxito. Y, si se trata de un fraude personal, puede reportarse a las Fuerzas y Cuerpos de Seguridad del Estado. De esta forma se puede intentar rastrear la cuenta destino a la que se ha realizado o se pretendía enviar el dinero y frenar o mitigar el ataque. 

Las estafas cibernéticas evolucionan cada día, volviéndose más sofisticadas y difíciles de identificar. Por eso, mantenerse puntualmente actualizado e informado a través de espacios de confianza ayudará a mantener la seguridad de la red de tu empresa.

Tu opinión cuenta
¿Te ha resultado útil este contenido?
Lo más visto
Credential stuffing: qué es y cómo funciona este ataque
¿Qué es el quishing y cómo funciona?
Nuevas campañas de phishing relacionadas con la interrupción de Crowdstrike
Ciberataques: ¿cuánto le puede costar a tu empresa?
Consejos de ciberseguridad en el teletrabajo

También te interesará…

8 min
1 julio 2022
A lo largo del día son muchas las llamadas que podemos recibir tanto a nivel personal como profesional. En ocasiones no tenemos registrados los números de todos aquellos que contactan...
  8 min
6 min
13 julio 2022
La información en las empresas, los datos y la seguridad de los mismos cada día son más importantes. Por eso las organizaciones son cada vez más celosas de su seguridad...
  6 min
9 min
19 mayo 2023
El phishing es uno de los ataques informáticos más habituales. Suele llegar por correo electrónico y está basado en el engaño, en hacer creer lo que no es para sustraer...
  9 min
Lo más visto
Credential stuffing: qué es y cómo funciona este ataque
¿Qué es el quishing y cómo funciona?
Nuevas campañas de phishing relacionadas con la interrupción de Crowdstrike
Ciberataques: ¿cuánto le puede costar a tu empresa?
Consejos de ciberseguridad en el teletrabajo
LinkedIn Twitter Facebook Whatsapp Email