El fraude de CEO: Un ciberdelito en auge

08/07/2019

El fraude de CEO: Un ciberdelito en auge, desde el año 2017 hasta hoy. Se están sucediendo diversas advertencias y comunicados oficiales de la Policía Nacional y la Guardia Civil, así como de organizaciones internacionales como la INTERPOL, sobre el fraude del CEO. En algunas comunidades autónomas españolas, como Galicia y Canarias, este ciberdelito ha producido pérdidas empresariales de hasta 1 millón de euros. Tal delito consiste en una modalidad de phishing o suplantación en que un impostor sustituye al CEO de una empresa, lo que da lugar a un fraude en que aquel puede obtener pingües beneficios económicos a costa de la organización defraudada.

La Guía de notificación y gestión de ciberincidentes del Consejo Nacional de Ciberseguridad del Ministerio del Interior, alerta sobre los fraudes cuya finalidad es la suplantación. Este es el grupo de delitos al que pertenece el fraude del CEO. Dentro de la guía, se establece que la peligrosidad de esta estafa es de nivel medio. Sin embargo, si el phishing conlleva pérdida de datos, el nivel de peligrosidad se considera alto.

Además, la página web del Instituto Nacional de Ciberseguridad (INCIBE) concede a este asunto una importancia alta (nivel de prioridad 4).

Cómo se perpetra un fraude del CEO

El servicio de incidentes de INCIBE, INCIBE-CERT, ha detectado un número creciente de incidentes de esta modalidad de phishing.

El timo consiste en lo siguiente:

Un empleado de alta categoría o rango de la organización empresarial, o un contable, recibe un correo electrónico del CEO, presidente o director empresarial, solicitándole información confidencial sobre la cuenta bancaria de la empresa. Ello, con el pretexto de una transacción bancaria urgente y confidencial. Es un tipo de phishing conocido como whaling (pesca de ballena) por la magnitud del engaño y de sus nefastas consecuencias.
La diferencia entre la dirección real de correo electrónico del CEO suplantado, y la del impostor, es muy pequeña y sutil. Y hay que prestar atención para percibirla. En realidad, el suplantador está empleando una imitación de la dirección electrónica del responsable empresarial al que sustituye.
El suplantador aprovecha ocasiones en que el jefe está ausente o no accesible (viajes, reuniones, etc), para que sea más difícil contrastar la información.
Muchas veces el impostor emplea un programa maligno (malware) espía o spyware (como por ejemplo Perfect Keylogger, que puede monitorizar y grabar contraseñas) para así acceder al correo electrónico empresarial y remedar el estilo de escritura del jefe, su firma, y otros aspectos formales con los que poder confundir a los empleados.

Un ataque de ingeniería social

El fraude del CEO se considera asimismo un ataque de ingeniería social, muy frecuente además contra empresas que incrementan su competitividad mediante el posicionamiento web. Para ello, se siguen idénticos pasos que el timador de siempre:

Primero reconoce a su víctima.
Luego realiza un acercamiento.
Establece un contacto.
Finalmente, una confianza con la persona a la que va a timar.

Por supuesto, para lograr esto, el timador ha de dar los siguientes pasos que le permitan consumar estos ataques de ingeniería social:

Reúne toda la información posible sobre la empresa: Departamentos, empleados, clientes. A veces, incluso realiza una llamada telefónica engañosa para lograr sus fines.
En un momento dado, aprovechará una situación concreta, o bien a través del nombre del banco habitual con el que se realizan las transacciones económicas, un proveedor de la empresa, o cualquier otra organización o excusa que le sirva para establecer una relación de confianza.
Así, mediante la manipulación de la persona a la que ha escogido como víctima, el estafador logra obtener información confidencial.

Las formas más habituales de manipulación de la víctima en un ataque de ingeniería social de estas características tienen lugar tocando de algún modo sus puntos débiles:

Vanidad y ego. Haciendo hincapié en su gran saber, talento, o de la gran confianza que les merece a los responsables de la empresa o al propio CEO. O convenciéndole de que va a recibir algún tipo de galardón o reconocimiento.
Respeto o temor a la autoridad. Se les exige algo por alguien que está por encima de ellos en cuanto a jerarquía, y deberán llevarlo a cabo. A veces, para obtener información confidencial que pueda servir para la estafa del CEO, el timador se hace pasar por una autoridad policial, por alguien de la Agencia Tributaria, etc.
La voluntad de ser útil de la persona empleada en un entorno laboral y empresarial.
Creando una situación apremiante o de urgencia que obligue a la persona a actuar cuanto antes, para así no poder considerar su actuación con detenimiento, y que su propia precipitación asegure el engaño.
El miedo a perder algo. Si no actúa ipso facto, la víctima no obtendrá la recompensa apetecida.

Como evitar la estafa del CEO

Es preciso tomar una serie de precauciones cuando se recibe un correo confidencial para llevar a cabo una transacción financiera con la cuenta bancaria de la empresa. Además, a este tipo de peticiones se les suelen poner apostillas harto sospechosas, tales como “¿puedo contar con tu discreción?” o “sólo podemos hablar por mail”. Así pues, la persona que recibe una comunicación electrónica de estas características ha de tomar las siguientes cautelas y realizar las siguientes comprobaciones:

Llamar al jefe

Llamar al jefe o intentar contactarle por otra vía, para contrastar la veracidad del correo.

Comprobar la cabecera del email

Comprobar la cabecera del email. Ello suele hacerse mediante la opción “Origen del mensaje”. En la estafa del CEO, lo habitual es que esta sea modificada. Las principales y fundamentales líneas de la cabecera de un correo electrónico incluyen, aparte de asunto y fecha (de escritura y de envío, o Delivery Date), remitente (From…) y receptor (to…), y el Return Path (sendero de retorno, es decir: La dirección para devolver el mail), además del Received (recibido): El acuse de recibo informático, por así decirlo, en que se consigna el servidor desde el que ha sido enviado el mensaje. A ello hay que agregar, como otro de los aspectos de mayor importancia en la cabecera de correo, el Message ID, o identificador único global (globally unique identifier: GUID) de cada mensaje electrónico. Pues bien: Ha de tenerse en cuenta que todas estas líneas, menos la de Received, pueden ser fácilmente falsificadas.

Corroborar la dirección de correo electrónico

Una vez comprobamos la cabecera, hemos de corroborar si, por ejemplo, la dirección de correo electrónico no se corresponde exactamente con la del remitente (por ejemplo, si en lugar de manuel@garcia.com, no será manuel@garcia.co), o bien si tal dirección se corresponde con un servidor o dominio de otro país cuya legislación al respecto deje importantes agujeros o sea directamente inexistente (por ello, abundan tantos alojamientos de ciberdelincuentes en países como la Federación Rusa -.ru-, México -.mx-, Nigeria -.ng-, Senegal -.sn, etc). Proliferan en estos casos, pues, los dominios de territorios donde se carece de DNSSEC (Domain Name System Security Extensions, capa de seguridad mediante firmas digitales de todos los implicados en la comunicación electrónica) y a menudo tampoco se posee IDN (nombre de dominio internacionalizado: Aunque, ojo, este puede ser falsificado con objetivos fraudulentos de phishing, para que se asemeje mucho al de otro país que no es el del servidor del remitente). Sin embargo, otras veces los ciberdelitos de suplantación o engaño (spoofing) proceden con frecuencia de países que sí disponen de las correspondientes capas de seguridad en sus dominios, como es el caso Italia (.it, aunque este sí carece de DNSSEC), Rumanía (.ro), o la República Popular China (.cn), desde donde además se han dado casos recientes de espionaje industrial en la rama de la informática, y de venta internacional ilegal de productos informáticos.

Guardar copias y capturas de los mensajes

Guardar copias y capturas de pantalla de los mensajes recibidos.

Amén de todo ello, hay que tener en cuenta que existen multitud de herramientas en Internet para comprobar la autenticidad del correo y de qué servidor procede:

Analizadores automáticos de cabeceras.
Buscadores de direcciones IP.
Etc.

Muchas veces, al introducir una IP en un buscador especializado, nos muestra que el servidor no se corresponde con aquel al que la dirección del timador dice pertenecer. Por ejemplo, una falsa dirección Gmail, cuya IP delatará que pertenece a un servidor que en realidad no es de Google).

Debemos estar alerta al respecto, porque este nuevo milenio y su revolución tecnológica nos deparan nuevos retos de ciberseguridad. Así pues, es imprescindible que adquiramos nociones y herramientas para saber defendernos.

Cookie	Duración	Descripción
_GRECAPTCHA	5 months 27 days	El servicio recaptcha de Google configura esta cookie para identificar bots y proteger el sitio web contra ataques de spam maliciosos.
análisis de casillas de verificación sobre la ley de cookies	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Análisis".
anuncio de casilla de verificación sobre la ley de cookies	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Publicidad".
Casilla de verificación funcional sobre la ley de cookies	1 year	La cookie está configurada por el complemento de consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
casilla de verificación necesaria sobre la ley de cookies	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Necesario".
Casilla de verificación otras sobre la ley de cookies	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otros".
Consentimiento de información sobre la ley de cookies	1 year	Registra el estado del botón predeterminado de la categoría correspondiente y el estado de CCPA. Funciona solo en coordinación con la cookie principal.
rendimiento de la casilla de verificación sobre la ley de cookies	1 year	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".

Cookie	Duración	Descripción
_ga	2 years	La cookie _ga, instalada por Google Analytics, calcula los datos de visitantes, sesiones y campañas y también realiza un seguimiento del uso del sitio para el informe analítico del sitio. La cookie almacena información de forma anónima y asigna un número generado aleatoriamente para reconocer a visitantes únicos.
_ga_KZGWES998N	2 years	Esta cookie es instalada por Google Analytics.
_gat_UA-84198729-1	1 minute	Una variación de la cookie _gat establecida por Google Analytics y Google Tag Manager para permitir a los propietarios de sitios web realizar un seguimiento del comportamiento de los visitantes y medir el rendimiento del sitio. El elemento de patrón en el nombre contiene el número de identidad único de la cuenta o sitio web al que se relaciona.
_gid	1 day	Instalada por Google Analytics, la cookie _gid almacena información sobre cómo los visitantes usan un sitio web, al mismo tiempo que crea un informe analítico del rendimiento del sitio web. Algunos de los datos que se recopilan incluyen el número de visitantes, su fuente y las páginas que visitan de forma anónima.
CONSENT	2 years	YouTube establece esta cookie a través de videos de YouTube incrustados y registra datos estadísticos anónimos.

Cookie	Duración	Descripción
uuid	6 months	MediaMath configura esta cookie para evitar que los mismos anuncios se muestren repetidamente y para publicidad relevante.
VISITOR_INFO1_LIVE	5 months 27 days	Una cookie configurada por YouTube para medir el ancho de banda que determina si el usuario obtiene la interfaz de reproductor nueva o antigua.
YSC	session	Youtube configura la cookie YSC y se utiliza para rastrear las vistas de videos incrustados en las páginas de Youtube.
yt-remote-connected-devices	never	YouTube configura esta cookie para almacenar las preferencias de video del usuario que utiliza videos de YouTube incrustados.
yt-remote-device-id	never	YouTube configura esta cookie para almacenar las preferencias de video del usuario que utiliza videos de YouTube incrustados.
yt.innertube::nextId	never	Esta cookie, configurada por YouTube, registra una identificación única para almacenar datos sobre qué videos de YouTube ha visto el usuario.
yt.innertube::requests	never	Esta cookie, configurada por YouTube, registra una identificación única para almacenar datos sobre qué videos de YouTube ha visto el usuario.

Cómo se perpetra un fraude del CEO

Un ataque de ingeniería social

Por supuesto, para lograr esto, el timador ha de dar los siguientes pasos que le permitan consumar estos ataques de ingeniería social:

Las formas más habituales de manipulación de la víctima en un ataque de ingeniería social de estas características tienen lugar tocando de algún modo sus puntos débiles:

Como evitar la estafa del CEO

Llamar al jefe

Comprobar la cabecera del email

Corroborar la dirección de correo electrónico

Guardar copias y capturas de los mensajes

Artículos Relacionados

Gestiona el talento en tu empresa

Beneficios de la LOPD para tu empresa

La revolución de las IAs