Primeras víctimas en España de la “estafa del CEO”

Verónica Sánchez Moreno

Cuatro empresas de Sevilla han perdido cinco millones de euros a través de este timo en el que los ciberdelincuentes suplantan la personalidad de alguno de los directivos de las compañías.

La amenaza ya está aquí. El grupo de Delitos Tecnológicos de la Unidad de Delincuencia Económica y Fiscal (UDEF) de la Jefatura Superior de Policía de Andalucía Occidental investiga la sustracción de cinco millones de euros de cuatro empresas de la capital hispalense realizada a través del “fraude del CEO”, según una reciente noticia publicada en el diario ABC.

Delincuentes comunes están copiando el modelo chino de ciberataques llevando a cabo una amenaza persistente avanzada (o Advanced Persistent Threat, (APT) como se le conoce en el mundo anglosajón). Las APT son ciberataques que se caracterizan por seleccionar objetivos personales y concretos, de forma persistente, que se aprovechan de los privilegios que tienen ciertas personas en la empresa (en esta ocasión, suplantando su personalidad para conseguir un beneficio financiero).

En el caso de una de las empresas sevillanas anteriormente citadas, los ciberdelincuentes aprovecharon que el presidente y el responsable de gestión económica estaban de vacaciones, para mandar un email a uno de los trabajadores de este último departamento haciéndose pasar por el presidente y solicitándole realizar una transferencia urgente de forma discreta, ya que el dinero estaba destinado a una compra que no podía conocerse de forma pública. Un timo que le ha costado a esta compañía andaluza un millón de euros.

Como ya informamos en la Revista de Ciberseguridad y Ciberdefensa el Instituto Nacional de Ciberseguridad (INCIBE) ha advertido de este tipo de phishing (suplantación de identidad a través de ingeniería social con el objetivo de conseguir información confidencial de forma fraudulenta) que se está dando de forma creciente en nuestro país. Para evitarlo, se aconseja a las empresas concienciar a los empleados para que sean muy cuidadosos con la información de las mismas e implantar procedimientos seguros con doble verificación para realizar pagos.