FRAUDE AL CEO

FRAUDE AL CEO

Resumen:
El director financiero recibe una petición de su consejero delegado por correo electrónico. El CEO pide que se transfiera una suma millonaria a un número de cuenta en otro país. Y su equipo de finanzas lo ejecuta. Esta operativa, que puede funcionar con normalidad en una empresa, puede suponer la pérdida de miles de euros víctimas de una estafa conocida como ‘fraude al CEO’ o ataque Business Email Compromise (BEC).

Palabras Clave: Fraude, Email, Ciber delincuencia, Dinero, CEO.

El Fraude es una declaración falsa a sabiendas de la verdad o la ocultación de un hecho material. En consecuencia, el fraude incluye cualquier acto intencional o deliberado de privar a otro de una propiedad o dinero por la astucia, el engaño, u otros actos desleales.

El modelo más ampliamente aceptado y la mejor forma para explicar porqué la gente comete un fraude es el Triángulo del Fraude.

Se trata de un modelo desarrollado por el Dr. Donald Cressey, un criminólogo cuya investigación se centró en malversadores gente que llamó «violadores de confianza.»

El FBI estima que, entre 2016 y 2019, se generaron pérdidas de aproximadamente 26 mil millones de dólares a través de ataques conocidos como BEC. Un tipo de estafa muy específica que está creciendo en popularidad y a un ritmo alarmante. A continuación, explicamos de qué se trata.

Fraude al CEO o BEC (Business Email Compromise)

El fraude al CEO es un ataque que apunta a los miembros del equipo financiero o contable de una compañía.

En este caso los, criminales intentan hacerse pasar por ejecutivos para convencer a los destinatarios por correo electrónico de la necesidad de realizar una transferencia de dinero de forma urgente para una operación supuestamente crítica para la organización.Sin embargo, el dinero se transfiere a una cuenta que está bajo el control de los atacantes.

Tiene como objetivo engañar a empleados que tienen acceso a los recursos económicos para que paguen una factura falsa o haga una transferencia desde la cuenta de la compañía

Es muy difícil para las tecnologías de seguridad detener estos ataques porque no hay archivos adjuntos de correo electrónico infectados ni enlaces maliciosos que se puedan detectar.

En 2018, la tesorera de la ciudad canadiense de Ottawa, Marian Simulik, fue víctima de este tipo de fraude y envió más $100,000 dólares canadienses a los estafadores tras recibir un correo electrónico fraudulento.

Unos días después, recibió otro correo electrónico fraudulento pidiéndole que transfiriera otros $150,000. Afortunadamente, Simulik recibió el segundo correo mientras estaba en la misma habitación que el administrador de la ciudad Steve Kanellakos, que era la persona por la que se hacían pasar los estafadores. Ella le preguntó si la solicitud era legítima y esto hizo que se dieran cuenta del engaño.

Fuente: Azar Plus

Ejemplos de cómo funcionaría el ataque

Transferencia bancaria: Un ciber delincuente busca dinero. Investiga la empresa en la que trabajas, por ejemplo, identifica quién es el responsable de realizar depósitos o cualquier persona responsable de transferir fondos

Después, los delincuentes crean y envían un correo electrónico a estas personas pretendiendo ser su jefe o un alto ejecutivo.

El correo electrónico les dice que hay una emergencia y que el dinero debe ser transferido de inmediato a una nueva cuenta bancaria. El correo electrónico los presiona para cometer un error y en realidad están enviando dinero al ciber delincuente.

Fraude fiscal: Los delincuentes están utilizando la información personal de las personas para utilizarla en fraudes fiscales.

Una de las formas más rápidas de obtenerlo es robar la información de los empleados de una empresa. Los delincuentes cibernéticos investigan e identifican quien trabaja en recursos humanos.

Después envían correos electrónicos falsos a estas personas, pretendiendo ser un alto ejecutivo o quizás alguien del área legal. Los correos electrónicos crean una historia de urgencia, para que la información fiscal de todos los empleados deba enviarse de inmediato.

Solución

Este tipo de fraudes utilizan técnicas de ingeniería social. La forma de evitarlos es concienciar a los empleados para reconocerlos y evitarlos, teniendo especial atención si utilizan dispositivos móviles para leer el correo.

También se han de implantar procedimientos seguros para realizar pagos, de manera que esté implicada más de una persona, es decir qué exijan doble verificación mediante una llamada telefónica al director para asegurarse de la veracidad del mensaje. 

El personal de Recursos Humanos piensa que está enviando los documentos confidenciales a la alta dirección, cuando en realidad los están enviando a un delincuente cibernético.

Es por eso que las organizaciones deben de contar con una buena capacitación dirigida a sus empleados, de esta manera estarán preparados para una situación similar y sabrán como detectarlas.

Mirna Zárate Hernández

Officer Compliance Analista AML

Referencias

Security Awareness. (2018). Fraude del CEO. SANS. https://www.sans.org/sites/default/files/2018-09/201809-OUCH-September-Spanish.pdf

Azar Plus. (s. f.). FRAUDE DEL CEO. Recuperado 23 de febrero de 2021, de https://www.azarplus.com/wp-content/uploads/2018/10/CIBER.pdf

ACFE. (2018). ¿Qué es el fraude? https://www.acfe-spain.com/recursos-contra-fraude/que-es-el-fraude

INCIBE. (2019, 12 noviembre). Fraude del CEO. https://www.incibe.es/protege-tu-empresa/avisos-seguridad/fraude-del-ceo

WeliveSecurity ESET. (2020, 4 mayo). Fraude del CEO: qué es y cómo las organizaciones pueden reconocer esta estafa. https://www.welivesecurity.com/la-es/2020/05/04/fraude-del-ceo-que-es-como-reconocer-esta-estafa/

Suscríbete a nuestro canal de youtube

En él encontrarás contenido semanal relacionado con los sectores de la Criminología, Inteligencia, Ciberseguridad, Criminalística, Delincuencia Económica, etc.

Podrás disfrutar de entrevistas con grandes profesionales de estos sectores, podcasts, documentales, videos de orientación, y mucho más que esta por venir.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *