El llamado ‘fraude del CEO’ consiste en hacerse pasar por un directivopara engañar a empleados que tienen acceso a los recursos económicos y lograr que paguen una factura falsa o hagan una transferencia desde una cuenta de la compañía
Javier Huergo, de @WatchAndAct, nos explica qué es #Fraude del #CEO y cómo prevenir sus efectos Clic para tuitearJavier Huergo, socio de Watch&Act Protection Services
Quien ocupa un puesto de responsabilidad en una empresa procura proyectar una imagen de solvencia y seguridad. Inspirar confianza es inherente a un cargo de los llamados “nivel C” (CEO, CSO, CIO, CFO, COO, CMO…), y precisamente de eso se aprovechan los ciberdelincuentes para construir su ingeniería social. El llamado ‘fraude del CEO’ consiste, según explica la Europol, en hacerse pasar por un directivo de confianza para engañar a empleados que tienen acceso a los recursos económicos y lograr que paguen una factura falsa o hagan una transferencia desde una cuenta de la compañía.
La dinámica comienza cuando el estafador -que ha estudiado cómo funciona la organización- envía un correo electrónico suplantando la identidad del CEO o un alto cargo de la propia empresa (lo que se conoce como phishing). En este mensaje solicita que se haga un pago urgente a una determinada cuenta, indicando además que se trata de una operación confidencial que debe realizar la persona a la que se dirige la comunicación. Añade que no estará disponible, que se trata de una situación excepcional y urgente (una inspección, una adquisición…).
Cifras alarmantes
El volumen de pérdidas generado por este fraude aumentó en todo el mundo en un 100% entre mayo de 2018 y julio de 2019, según datos del FBI, que analizó este tipo de estafas en 177 países. En total, en los últimos tres años se han generado pérdidas de 26.000 millones de dólares.
España no ha permanecido ni mucho menos al margen. El pasado mes de enero, la Policía Nacional desarticuló una banda que, siguiendo este método, podría haber estafado 25 millones de euros en todo el mundo, 600.000 de ellos a entidades españolas. Asimismo, localizaron listados con datos de contacto de más de 500.000 empresas, cuentas de correo electrónico de 1.000 de ellas y sus claves de acceso, lo que da una idea del riesgo al que se expone el tejido empresarial nacional y del alcance de este tipo de redes.
Junto a esta práctica ya habitual, las autoridades internacionales han detectado, en los últimos meses, un aumento de las alertas en los departamentos de Recursos Humanos, que reciben solicitudes de sus empleados de cambios en la cuenta bancaria para la domiciliación de la nómina. Las pérdidas registradas por esta vía representan de media 7.900 dólares por operación.
Siendo ya de por sí alarmantes todas estas cifras, los expertos coinciden en que podrían ser sólo la punta del iceberg, ya que en muchas ocasiones la empresa o el directivo prefieren correr con los costes antes que contarlo, culpabilizándose de haber caído en el engaño: “¿Cómo no me he dado cuenta? ¿Qué van a pensar de mí mis jefes/ compañeros/ empleados/ clientes/ socios?”. La empresa, a su vez, puede verse en la difícil situación de tener que decidir en qué medida responsabilizar a un empleado que haya querido responder con celeridad a una indicación de quien creía que era su jefe.
Prevenir y reparar el daño
El primer paso que deben dar empresas y directivos para combatir el ‘fraude del CEO’ es mantener una buena política de ciberseguridad, tanto en sus elementos técnicos (antivirus, firewall, actualizaciones, sistemas de control y gestión de accesos) como en los humanos. La gran mayoría de los ciberataques requieren, en algún momento, la intervención de una persona. La buena formación a todos los empleados y el seguimiento de buenas prácticas en materia de ciberseguridad son las herramientas de prevención más importantes.
Sin embargo, ningún método garantiza una eficacia absoluta, y no hay ninguna empresa, ni por su tamaño ni por su sector, que no sea atractiva para un ciberdelincuente. Por ello, es importante que las empresas estén aseguradas frente a la eventualidad de verse afectadas por un ciberataque. Compañías como Watch&Act Protection Services ofrecen seguros especializados de ciber riesgo, considerados la última línea de defensa en el caso de que éste se produzca, que ayudan a la empresa damnificada a recuperar su normalidad y retornar a su actividad principal lo antes posible.
Los gastos que puede suponer un ciberataque son difíciles de acotar, e incluyen desde la investigación del propio incidente y su solución hasta la reclamación legal (defensa legal y daños, posibles multas y sanciones), pasando por el tiempo de inactividad del personal afectado, la recuperación del trabajo pendiente y la consecuente pérdida de beneficios; a lo que habría que añadir, si lo hubiera, la reparación del daño reputacional.
Los ciberincidentes pueden ser especialmente problemáticos para pequeñas y medianas empresas que no cuentan con un gran departamento interno de IT y necesitan apoyo externo para resolver de forma rápida y eficaz una situación como ésta. Según datos de la asociación ICEA (Investigación Cooperativa entre Entidades Aseguradoras y Fondos de Pensiones), las pymes españolas han registrado en lo que va de año 220 ciberdelitos, con un coste medio cercano a los 32.000 euros. Asimismo, esta organización afirma que el 93,5% de las empresas españolas que contrataron un seguro de ciber riesgo hasta julio de 2019 eran pymes.
