Los ciberdelincuentes no dejan de inventar nuevos métodos para timarnos, en esta ocasión el objetivo son las empresas, aunque como en muchos otros casos, se aprovechan del eslabón más débil de la seguridad, las propias personas.
Utilizan un sistema que ya ha costado más de 2000 millones de dólares a las empresas en los últimos dos años y su ámbito de acción es mundial, cualquier compañía puede llegar a ser objetivo de esta estafa independientemente de su tamaño.
Se conoce como el fraude del CEO porque la estafa está basada en la suplantación de la identidad del consejero delegado o el director general de la empresa, término con el que se conoce a esta figura en inglés (Chief Executive Oficer).
El modo en el que engañan a la empresa es a través de un correo electrónico que aparentemente envía el CEO a alguna persona de confianza de la empresa que tenga la capacidad de emitir pagos por transferencia. Le pide que efectúe un pago urgente a una cuenta bancaria que le indica y explica cualquier argumento que justifica la urgencia, como que debe solucionar un problema fiscal o sanción en algún país extranjero.
El contable no sospecha nada extraño pues el correo electrónico suplanta perfectamente al del director general y nada hace suponer el origen fraudulento del mensaje. Además, el correo también suele advertir de la confidencialidad del problema y por tanto del necesario secretismo en la gestión, por lo que la víctima debe actuar sola y no debe contárselo a nadie.
Según el FBI la estafa media llevada a cabo por este método ronda los 120.000 dólares por timo, pero se han dado casos de pagos de hasta 90 millones. Lógicamente, el importe del timo estará relacionado con el tamaño de la empresa, adecuando la cantidad solicitada a su volumen de negocio. Últimamente se ha detectado un importante crecimiento en este tipo de actividad delictiva, alcanzando en los últimos seis meses la cantidad de 800 millones de dólares robados. Sumados a los 1200 millones anteriores, la estafa alcanza unos 2000 millones de dólares provenientes de hasta 108 países diferentes.
Las cuentas de destino de estas transferencias corresponden a bancos situados en países donde las autoridades extranjeras tienen poca o ninguna capacidad de acción, como China o algunos países de África. Las cuentas desaparecen en cuanto reciben el dinero y posteriormente resulta muy difícil dar con el origen de la estafa.
Los ladrones aprovechan alguna ausencia del personal directivo para llevar a cabo la suplantación. Escogen el momento adecuado en el que el director no resulta accesible, por ejemplo durante un viaje, para enviar el mensaje suplantando su cuenta. No les resulta difícil seguir los pasos de los directivos para elegir el momento idóneo, utilizan para ello toda la información personal y de la empresa disponible hoy en redes sociales y otros medios.
En casos más sofisticados llegan a hackear sus cuentas de correo para conocer sus clientes, sus proveedores, su modo de expresarse, etc. y conseguir así mayor información para dar mayor veracidad al mensaje origen del engaño.
Las grandes compañías son las más apetecibles, porque las cantidades de dinero que mueven son superiores y el botín puede ser mayor. Pero suelen tener procedimientos más complejos y mayores medidas de seguridad para realizar pagos. El mayor riesgo recae en las pequeñas y medianas empresas donde el exceso de confianza de un solo contable puede ser el único error necesario para que se produzca el robo. Además, con la actual globalización, muchas empresas, aunque sean pequeñas, operan con países de todo el mundo y por tanto no despierta desconfianza realizar pagos a cualquier lugar del mundo.
Hoy todas las empresas deben conocer el tipo de estafa del fraude del CEO, mantenerse vigilantes y formar a sus empleados para prevenir esta amenaza. Deben explicar el riesgo a todos los empleados que tengan la capacidad de realizar pagos y crear procedimientos seguros de doble verificación, como exigir una llamada telefónica adicional al director para asegurarse de la veracidad de su mensaje.