El fraude de CEO es una estafa en la que los ciberdelincuentes falsifican las cuentas de correo electrónico de la empresa y se hacen pasar por ejecutivos para tratar de engañar a un empleado de contabilidad o recursos humanos para que ejecute transferencias bancarias no autorizadas o envíe información confidencial.

El fraude del CEO (muchas veces directamente relacionado con los Ataques BEC) es el tipo de delito cibernético de mayor recaudación en 2021, según el IC3 Internet Crime Report 2021 del FBI. 

La estafa se lleva a cabo al comprometer cuentas de correo electrónico comerciales legítimas a través de técnicas de ingeniería social o intrusión informática para realizar transferencias de fondos no autorizadas.

Escenarios comunes de ataque

  1. Empresa que trabaja con un proveedor extranjero: esta estafa se aprovecha de una relación de transferencia bancaria de larga data con un proveedor, pero solicita que los fondos se envíen a una cuenta diferente. 
  2. Empresa que recibe o inicia una solicitud de transferencia bancaria: al comprometer  y/o falsificar  las cuentas de correo electrónico de los altos ejecutivos, otro empleado recibe un mensaje para transferir fondos a alguna parte, o una institución financiera recibe una solicitud de la empresa para enviar fondos a otra cuenta. Estas solicitudes parecen genuinas ya que provienen de la dirección de correo electrónico correcta. 
  3. Contactos comerciales que reciben correspondencia fraudulenta: al hacerse cargo de la cuenta de correo electrónico de un empleado y enviar facturas a los proveedores de la empresa, el dinero se transfiere a cuentas falsas. 
  4. Suplantación de identidad de ejecutivos y abogados: los estafadores se hacen pasar por abogados o ejecutivos que se ocupan de asuntos confidenciales y urgentes. 
  5. Robo de datos: los correos electrónicos fraudulentos solicitan todos los formularios de declaración de impuestos o salarios (W-2) o una lista de información de identificación personal (PII) de la empresa. Estos provienen de cuentas de correo electrónico ejecutivas comprometidas y/o falsificadas y se envían al departamento de recursos humanos, cuentas o departamentos de auditoría.

Suplantación de identidad

Los correos electrónicos de phishing se envían a una gran cantidad de usuarios simultáneamente en un intento de “pescar” información confidencial haciéndose pasar por fuentes confiables, a menudo con logotipos de apariencia legítima adjuntos. Los bancos, los proveedores de tarjetas de crédito, las empresas de entrega, las fuerzas del orden público y el IRS son algunos de los más comunes. Una campaña de phishing generalmente envía correos electrónicos a una gran cantidad de usuarios. La mayoría de ellos son para personas que no usan ese banco, por ejemplo, pero por el peso de los números, estos correos electrónicos llegan a un cierto porcentaje de posibles candidatos.

Ingeniería Social

Dentro de un contexto de seguridad, la ingeniería social significa el uso de manipulación psicológica para engañar a las personas para que divulguen información confidencial o proporcionen acceso a fondos. El arte de la ingeniería social podría incluir extraer información de sitios de redes sociales. LinkedIn, Facebook y otros lugares brindan una gran cantidad de información sobre el personal de la organización. Esto puede incluir su información de contacto, conexiones, amigos, negocios en curso y más.

Spear Phishing

Esta es una forma de phishing mucho más enfocada. El ciberdelincuente ha estudiado al grupo o ha recopilado datos de los sitios de redes sociales para los estafadores. Un correo electrónico de spear phishing generalmente se envía a una persona o a un pequeño grupo de personas que usan ese banco o servicio. Se incluye alguna forma de personalización, tal vez el nombre de la persona o el nombre de un cliente.

Whaling Ejecutivo

Aquí, los ciberdelincuentes se dirigen a los altos ejecutivos y administradores, haciéndose pasar por ellos y apuntan directamente a otras personas importantes en una organización, generalmente para desviar dinero de las cuentas o robar datos confidenciales. La personalización y el conocimiento detallado del ejecutivo y del negocio son las señas de identidad de este tipo de fraude.

Un ataque de Whaling (cacería de ballenas) es similar al phishing en el sentido de que utiliza métodos como la suplantación de correo electrónico y sitios web para engañar a un objetivo para que realice acciones específicas, como revelar datos confidenciales o transferir dinero.

La mayoría de los esfuerzos hacia la mitigación de riesgos se concentran en la tecnología. Sin embargo, estas protecciones tecnológicas deben estar respaldadas por lo que se conoce como firewall humano. Independientemente de qué tan bien esté diseñado el perímetro de defensa, los actores de amenazas siempre encontrarán una forma de entrar. Por lo tanto, los ciberdelincuentes continúan confiando en el phishing y otros trucos del manual de ingeniería social. 

Empresa

  • Antivirus y Antimalware
  • Detección/protección de intrusión
  • Cortafuegos
  • Filtros de correo electrónico y Copias de seguridad
  • Autenticación de dos factores o multifactor
  • Estrategias de concientización
  • Confianza Cero
  • Establecer protocolos para pagos, verificación de legitimidad de cualquier solicitud
  • Establecer procedimientos de gestión de fraude

Empleado

  • Formación de conciencia de seguridad: El personal necesita ser educado regularmente sobre amenazas cibernéticas
  • Cada usuario debe poder detectar correos electrónicos de phishing
  • Respetar estrictamente procedimientos de seguridad
  • Revisar con cuidado la información de quién solicita información
  • No abrir enlaces o adjuntos sospechosos
  • En caso de duda, consultar a un compañero experto