La estafa del CEO - Intelsynet

En los últimos años se está popularizando la denominada Estafa del CEO, una estafa en la que se hacen pasar por altos cargos de las compañías y, a través del email o llamadas telefónicas, solicitan a empleados que hagan transferencias de grandes cantidades de dinero a una cuenta de correo o el acceso a datos confidenciales de la compañía.

Esta Estafa del CEO se encuentra dentro de las denominadas como estafas de Correos Electrónicos Corporativos Comprometidos o BEC (Business Email Compromise). Son ataques whaling ya que se trata de ataques de spear phishing especialmente diseñados para “pescar peces gordos”.

Para ello se elige a una persona con capacidad de hacer transferencias o con acceso a los datos que se quieren conseguir, y se aprovechan de su ego, ya que se muestra confianza en ella. Esta víctima se elige mediante ingeniería social y malware para, posteriormente, combinar llamadas y correos electrónicos en los que se imita el comportamiento que tendría un ejecutivo de alto nivel.

Se trata de comunicaciones muy breves y concisas en las que siempre se remarca la confidencialidad de la operación que se está llevando a cabo, incluso se usan proveedores reales de la compañía para intentar otorgar a la estafa la mayor credibilidad posible.

¿Qué consecuencias tiene?

Robo de información. Esta información puede afectar a la compañía, pero también puede afectar a sus usuarios, clientes y proveedores.

Pérdidas económicas. De acuerdo a lo recogido en el informe Internet Crime Report (IC3) del FBI, las estafas BEC superaron en 2017 los 676 millones de dólares en pérdidas sólo en Estados Unidos.

Daño reputacional. Derivado de los dos puntos anteriores, puede acarrear grandes perjuicios a la empresa: pérdida de la confianza por parte de los clientes, negativa a trabajar con ellos por parte de los proveedores…

¿Qué soluciones podemos implementar?

Las soluciones ante un ataque BEC o un intento de Estafa de CEO deben venir desde dentro.

Debemos proteger nuestra compañía mediante la concienciación de nuestros empleados y la creación de procedimientos específicos que dificulten el éxito de estos ataques.

Desactivar la vista de correos en html en las cuentas de correo críticas, crear un proceso de doble verificación, en el que no haya transacciones urgentes y que todas deban comprobarse de una forma doble antes de realizarse, podrían ser algunos ejemplos de medidas.

Últimas entradas

Directiva aprobada: Multas para empresas que dañen derechos humanos y medio ambiente

Agricultores polacos intensifican sus protestas y bloquean pasos fronterizos con Ucrania

Hitos en sostenibilidad empresarial de 2023

Desafíos Globales en el Horizonte: «Energy Intelligence Forum 2023» analiza la fragmentación geopolítica y las rutas hacia una energía sostenible

Francisco Calomarde, líder de la AIMPR, sobre el Escenario inicial del año y los desafíos en el sector cerámico