La creciente preocupación por denominado fraude del CEO ha hecho que el Banco de España cree un espacio dedicado a esta practica fraudulenta en su pagina web. De este modo, el Banco de España pretende evitar posibles brechas de seguridad y problemas financiaros generados por esta practica fraudulenta cada vez mas frecuente.
Lo cierto es que numerosas compañías han sido víctimas de estos fraudes, aunque muy pocas lo reconocen. Asimismo, si hablamos de victimas en España, podemos manejar una horquilla entre los tres y los doce millones de euros estafados.
Por lo que se hace evidente el duro trabajo de los defraudadores para que sus engaños funcionen a la perfección, usando cada vez técnicas e investigaciones mas refinadas y sofisticadas. Esto puede ser consecuencia de la ingente cantidad de información que hay en internet, la cual facilita la sofisticación de los ataques y el grado de su efectividad.
El ataque del CEO consiste en la suplantación de la identidad del CEO o máximo responsable de una empresa, el engaño a un cargo medio/alto de su organización, la petición confidencial de una transferencia bancaria de una alta suma de dinero y el apelo a la profesionalidad del estafado.
Las técnicas utilizadas para poner a prueba la seguridad de la empresa son diversas. Aunque, la más utilizada y conocida es el “phising”. El phising” consiste en el envío indiscriminado de correos electrónicos a empleados para tratar de “pescar” información sensible haciéndose pasar por una reputada fuente.
Es decir, podemos ver el ataque del CEO como un tipo de “phishing” avanzado, basado en el estudio minucioso de una compañía y su día a día, y perpetrado luego con la ayuda de las últimas tecnologías, como la imitación perfecta del tono de voz, e incluso el acento, del ejecutivo que se quiere suplantar, vía software avanzado».
Este fraude se diferencia del resto de timos online en que siempre tiene como objetivo «engañar a un empleado con cierta responsabilidad dentro de la organización, suplantando a su CEO o máximo representante, apelando a su profesionalidad y solicitando una transferencia inmediata de una suma considerable de dinero».
Al respecto, muchas compañías se preguntarán como pueden afrontar este tipo de ataques para no sufrir brechas de seguridad dentro de las mismas. Expertos como Manuel Asenjo, director de Tecnología del despacho Eversheds Sutherland Nicea y Javier Durán, director de Servicios Generales y Relaciones Laborales de Ceca Magán Abogados nos dan algunas respuestas.
Manuel Asenjo subraya que a nivel de despacho tenemos políticas muy concretas. Utilizamos sistemas de ‘Machine Learning’ para reconocer las pautas de los usuarios relevantes y en caso de que se produzca una acción inesperada o reciban un correo peligroso, estos sistemas puedan frenar la amenaza”.
Además, explica que “también tenemos políticas de contraseñas seguras y autenticación de doble factor, a través de este sistema se puede detectar intentos de acceso desde lugares remotos y bloquear la cuenta en caso de que el número de intentos erróneos sea elevado”.
Por ello, se hace imprescindible que el trabajador o usuario deba recibir formación para saber identificar y responder ante ese tipo de amenazas. Todo ello sumado a la importancia de contar con seguridad adicional a nivel financiero.
Por otro lado, Javier Duran subraya que “hemos desarrollado en la firma un sistema de filtros muy importante. Nadie puede hacer una transferencia por sí solo. Ni siquiera desde el propio departamento financiero. Nuestro sistema obliga a que firmen varias personas siempre cualquier operación de este tipo”.
En definitiva, la educación y capacitación en temas vinculados a la seguridad también son grandes aliados de las organizaciones. Dado que este tipo de fraude se dirige a departamentos corporativos específicos, se debe hacer hincapié en los miembros de estos equipos, particularmente con respecto a los protocolos establecidos y los medios para detectar estas estafas.
Finalmente, si hemos caído en la trampa y se ha producido el fraude, lo primero que debemos hacer es acudir a denunciar a la policía. Durán se pronuncia al respecto y añade que “ya se ha enviado el dinero, con lo cual hay que dejar el tema en manos de los profesionales de la fuerza de seguridad. Luego, a nivel interno hay que abrir un caso para saber qué ha pasado y que no vuelva a ocurrir esa brecha de seguridad”.