El fraude del CEO, también conocido como Business Email Compromise (BEC), es un timo especialmente centrado en las empresas debido a su funcionamiento. Consiste en la suplantación de identidad de personal directivo de una empresa por parte de un ciberdelincuente para engañar a un empleado con capacidad de realizar movimientos de dinero y persuadirle de que realice una transacción que finalmente acaba en manos del ciberdelincuente.
Este ataque es difícil de detectar ya que conlleva un gran componente humano y los medios utilizados suelen ser legítimos, con lo que evitan las herramientas de seguridad que podrían alertar de otros tipos de ataque. Las vías de comunicación usadas por los atacantes pueden ser correos electrónicos, SMS, aplicaciones de mensajería como WhatsApp o Hangouts e incluso se han realizado ataques desde una llamada o videollamada, aunque suelen ser menos habituales debido a su riesgo y coste técnico.
Respecto a su realización, hay que tener en cuenta que se trata de un ataque de ingeniería social, es decir, el atacante cuenta con que todos los datos ofrecidos a la víctima hagan que baje la guardia y acabe realizando la acción solicitada. Para ello, los ciberdelincuentes invierten tiempo previo al ataque a recopilar la información de la persona que van a suplantar y el modo en el que se realizan las operaciones en la empresa, centrándose especialmente en el flujo de peticiones y cargos de los usuarios implicados.
Una vez realizadas esas labores de recopilación de datos, los atacantes preparan el perfil de la persona que van a suplantar, generalmente una persona de la alta dirección (de ahí su nombre fraude del CEO) con capacidad de solicitar operaciones financieras. Después contactan con la víctima del engaño a través de una vía de comunicación como podría ser el correo el electrónico para solicitarle la realización de una trasferencia escudándose en un hipotético proyecto, adquisición u otra operación normal en la empresa. En este proceso suelen facilitar datos adicionales recabados en la fase anterior para convencer a la víctima que todo se trata de una operación corriente y evitar las sospechas por parte de la víctima, ya sea por el medio de comunicación utilizado como un mensaje de WhatsApp debido a una urgencia, el vocabulario utilizado o el número o correo de origen.
Aunque en muchas ocasiones esta suplantación se realice sobre personas de la misma organización, en otras tantas se observa que los atacantes se hacen pasar por terceros que prestan un servicio a la empresa, como puede ser un proveedor.
Para evitar este tipo de ataques se suele recomendar:
- Revisar el correo, teléfono o usuario del remitente. Aunque los delincuentes intentan que se asemejen a los datos originales, suelen variar o no ser los mismos.
- Seguir siempre los procesos especificados y desconfía de contactos fuera de esos medios. Si la comunicación habitual es el correo electrónico desconfía de mensajes procedentes de otros medios, los atacantes suelen utilizar la urgencia para justificar este tipo de cambios de comunicación.
- Desconfiar de un modo de comunicación extraño o diferente a lo habitual. En muchas ocasiones se puede detectar este tipo de ataques ya que el estilo del mensaje no se corresponde con el habitual del usuario de origen o incluso solicitar información que el remitente ya debiera conocer.
- Verifica siempre por una segunda vía cualquier comunicación fuera de lo habitual. Contacta a través de los medios oficiales con la supuesta persona de origen y confirma que se trata de una petición legítima.
Para más información puede consultar la infografía específica que el Basque Cybersecurity Centre elaboró con recomendaciones para ayudar a detectar las Estafas BEC o Fraude del CEO.
