Prevención ante el ‘fraude del CEO’
Verónica Sánchez Moreno
El Instituto Nacional de Ciberseguridad (INCIBE) advierte del auge de este timo que ha detectado el servicio de respuesta a incidentes de CERTSI.
Quizá usted es directivo e incluso dueño de alguna empresa y nunca ha oído hablar del timo conocido como “estafa del CEO”, un tipo de phishing dirigido especialmente a los empleados que tienen acceso a los recursos económicos y financieros de las empresas. Si es así, debería ponerse en alerta, ya que el CERT de Seguridad e Industria (CERTSI), es decir, la Capacidad de Respuesta a incidentes de Seguridad de la Información del Ministerio de Energía, Turismo y Agenda Digital y del Ministerio del Interior ha notado un incremento considerable de estafados a través de este fraude.
El funcionamiento es el siguiente: un empleado de alto rango o el contable de la empresa recibe un correo electrónico, supuestamente de su jefe directo, en el que éste le pide ayuda para una operación financiera confidencial y urgente. Una ayuda que este empleado, con capacidad para realizar transferencias o acceder a datos de cuentas y que no sospecha estar siendo objeto de un fraude, se ofrece a dar.
Así pues, la víctima de whaling (como se conoce a este phishing porque se dirige a “peces gordos”) puede desvelar datos confidenciales de la cuenta viéndose instigado por su supuesto superior a realizar una transferencia urgente. Para ello, los defraudadores aprovechan alguna ausencia del jefe con el objetivo de que el empleado no pueda corroborar si dicha solicitud de ayuda es fiable e, incluso, pueden haber espiado previamente a través de un malware los correos electrónicos del jefe para imitar su estilo de escritura. Asimismo, el correo electrónico del “jefe” puede ser mandado desde una dirección falsa pero parecida a la original o desde la cuenta correcta, habiendo robado previamente las credenciales de acceso a la misma para conseguir utilizarla con fines fraudulentos.
¿Qué hacer para no ser víctima de este timo? Lo primero es concienciar a los empleados acerca de la amenaza para que sean muy cuidadosos con la información y los remitentes de los correos electrónicos, sobre todo cuando los lean a través de sus dispositivos móviles. Asimismo, la empresa debe implantar procedimientos seguros para realizar pagos, con doble verificación y, para evitar que un posible atacante espíe sus correos electrónicos, es necesario actualizar el sistema operativo y las aplicaciones, instalar un buen antivirus, así como filtros antispam y desactivar la vista de correos en html. Toda precaución es poca si tenemos en cuenta que los ciberataques en España se han duplicado, pasando de los 50.000 detectados en 2015 a los 115.000 en 2016.