ESTAFA DEL CEO
Autor: Verónica Pérez
El área de delincuencia económica es muy importante actualmente, no solo desde un punto de vista criminológico sino también porque los delitos económicos están muy presentes en nuestro día a día, como es el ejemplo de la estafa del CEO (Chief Executive Officer).
Hablamos de estafa ya que realmente existen diferencias entre estafa y fraude. Estamos de acuerdo en que ambas denominaciones se refieren a un engaño, sin embargo, no son lo mismo.
El fraude “ocurre cuando una persona engaña intencionalmente a otra sobre un asunto de seguro para recibir dinero u otro beneficio que no le corresponde”; sin embargo, la estafa “es un delito contra la propiedad o el patrimonio”. Es decir, mientras que el fraude está dirigido a una multitud de personas (se destacan delitos como pueden ser el phising, el smishing, el overlay, etc,); la estafa suele estar orientada a una persona en particular y con un análisis previo exhaustivo de la empresa, como es el caso de la estafa del CEO.
¿Qué es la estafa del CEO?
Este delito consiste en que un empleado víctima recibe un mensaje o una llamada de un supuesto jefe (perpetrador) que le solicita realizar una operación urgente, generalmente una transferencia a una persona concreta, alegando que él mismo no puede llevarlo a cabo por cualquier motivo de peso, por ejemplo, no le funcionan las claves. El empleado víctima creyendo que verdaderamente es un superior el que se ha puesto en contacto con él, accede a realizar la transferencia sin saber que el destinatario no es la persona que dice ser.
¿Cómo se realiza?
Los métodos empleados para llevar a cabo este tipo de estafa son diversos, no obstante, todos derivan del uso de la ingeniería social. En la actualidad, este delito suele ser realizado por cibercriminales, es decir, se comete a través del ciberespacio en su gran mayoría por la facilidad, rapidez y anonimidad que este ofrece.
En esta línea, la forma en la que utilizan los cibercriminales la ingeniería social es fundamental, han de lograr hacer ver al empleado víctima la urgencia real del procedimiento para que no pueda revisar la procedencia de la orden y se salte los pasos de seguridad. Además, en ocasiones, amenazan también su puesto de trabajo para conseguir lo ya mencionado.
Los estafadores estudian la estructura y el funcionamiento de la empresa e, incluso, en operaciones más complejas, la forma de escribir de los jefes por los que se van a hacer pasar, además de los horarios de los mismos para llevar a cabo el fraude cuando ellos se encuentren ausentes o inaccesibles.
Personas afectadas
Automáticamente aparecen multitud de personas afectadas. Por un lado y en primer lugar, sobre la que recae de forma plena el fraude; este es el empleado que realiza la operación tras el engaño sufrido. Por otra parte, también el directivo que “realiza la llamada o la solicitud de operación”, ya que alguien utiliza una identidad falsa en su nombre operando en la red.
Por último, y de forma más general, la persona jurídica o la empresa es realmente la afectada por el fraude, pues el movimiento de dinero nace de ella y pierde parte del patrimonio medido con detenimiento por aquel que inicia el fraude.
De forma secundaria, pueden verse afectados algunos particulares que de forma externa pertenecen a la empresa afectada, cediendo capital o permitiendo el manejo del mismo por esta.
Modos de prevención
Las empresas pueden prevenir que sus empleados sean víctimas de la estafa del CEO principalmente por dos vías: seguridad tecnológica y formación de su personal.
Este delito ocurre con mucha frecuencia en el ciberespacio, por tanto, invertir en ciberseguridad es muy importante. Se debería disponer de herramientas de escaneo, detección y bloqueo de correos electrónicos fraudulentos, además de un filtro inicial de correos internos y externos de la organización. Por otro lado, también es recomendable poder tener acceso al visor de html para comprobar la autenticidad de las direcciones de correo y enlaces de cuentas importantes.
En cuanto al personal de la empresa, en primera instancia, es aconsejable crear una cultura de transparencia y concienciar sobre la importancia de seguir los procedimientos establecidos para cualquier trámite (sobre todo, bajo presión). El trabajador siempre será el punto más débil en la estructura de una empresa, por tanto, se les ha de mantener formados y actualizados en todo lo referente a su puesto de trabajo; incluyendo los delitos de los que pueden ser víctimas y de los modus operandi más habituales de los mismos.
De manera más particular, las organizaciones podrían establecer un protocolo paso a paso que indique la forma de llevar a cabo un pago en la empresa. Los últimos pasos de dicho protocolo de pago (la aprobación del traspaso de dinero) deberían realizarse con el consentimiento de dos personas a la vez, las cuales tuvieran que comunicarlo por vías de comunicación diferentes (ej.: correo y llamada).
La obligatoriedad de este protocolo tendría que ser más fuerte en aquellos casos donde la cuantía de dinero sea elevada o el destinatario de la misma no sea una persona habitual. Por último, cabe destacar la importancia de no enviar información confidencial por ningún canal online y en ninguna circunstancia.
Casos reales
El 13 de agosto de 2021 se publica la “operación tarbes” en la cual se ha detenido a 3 personas que operaban en Sagunto y el Puig de Santa Maria, por llegar a estafar cerca de 100.000€.
El 18 de mayo de 2021 se conoce públicamente la operación denominada “Barramais” en la que han sido detenidas 31 personas en Valencia, Murcia, Sevilla, Las Palmas, Burgos, Algeciras y Cádiz por estafar a 40 empresas con pérdidas de alrededor de los 2 millones de euros.
El 20 de julio de 2020 fueron detenidas 17 personas distribuidas entre Madrid, Santander, Toledo y Valencia por estafar a empleados de una empresa. Se estima que la cifra estafada ronda 1.3 millones de euros. Formaban parte de una organización internacional en la que han intervenido diversas autoridades policiales de diferentes países. Los estafadores averiguaban información de la empresa mediante ingeniería social, fuentes públicas, documentación, y cuando la empresa se encontraba cerca de cerrar un acuerdo importante, era cuando los estafadores entraban en juego haciéndose pasar por un delegado jefe y solicitando el ingreso de una importante cantidad de dinero para finalizar ese acuerdo.
En todos los casos mencionados, los estafadores han sido procesados por los delitos de estafa, blanqueo de capitales y pertenencia a organización criminal. Pero no son los únicos casos que podemos encontrar, este tipo de delitos y otros muchos están produciéndose casi a diario de manera global, por lo que si analizamos las noticias podemos llegar a descubrir mucho más, y cuanto más sepamos de ellos, más podremos ponerles remedios y aprender a buscar soluciones preventivas.
CONCLUSIONES
En los casos descritos de estafa del CEO se aprecia mediante sucesos reales las grandes y graves consecuencias económicas y personales que estas actuaciones provocan. Por ello, la respuesta que hay que ofrecer a esta grave problemática debe ser conjunta, pero sobre todo desde el prisma de la prevención, mediante políticas educativas de transparencia y ciberseguridad para conseguir una tranquilidad de las empresas, el CEO y las demás posibles víctimas.
ÁREA DE DELINCUENCIA ECONÓMICA DE SEC2CRIME
