Si de primeras te recomendásemos que desconfíes de cualquier comunicación urgente que recibas por parte de tu jefe/a, probablemente no seguirías nuestro consejo y de hecho recibiríamos una llamada de atención de él/ella.
Sin embargo, el “fraude al CEO” es un tipo de engaño o estafa por correo electrónico (phishing), que consiste precisamente en hacerse pasar por un alto directivo o cargo responsable, y dirigir un e-mail a un departamento crítico (Financiero, Administración, Tesorería, etc.) para conseguir:
– La realización de elevadas transferencias de dinero por motivos urgentes.
– El cambio de cuentas bancarias de un determinado Proveedor habitual, para desviar los pagos de facturas a una cuenta fraudulenta.
– Pinchar en un enlace o descargar un archivo que infecte nuestro dispositivo con un virus o ransomware.
En el siguiente vídeo, nuestro director general, Francisco Valencia, nos explica con detalle en qué consiste el “fraude al CEO” y cómo podemos evitar caer en este tipo de estafa.
CASO REAL: Durante la pandemia, pudimos ver como el Grupo farmacéutico ZENDAL fue víctima de tres correos fraudulentos, que en total sumaron 9 millones de euros en transferencias a una cuenta falsa a solicitud de un “alto directivo” de la empresa. Obviamente resultó que un grupo de ciberdelincuentes habían suplantado la identidad de ese alto directivo, para solicitar el cambio de datos bancarios de un supuesto Proveedor. Para cuando la empresa a nivel contable se dio cuenta de la estafa, ya no fue posible ni localizar al atacante, ni recuperar el dinero.
ATENCIÓN: Dado que las empresas a día de hoy, en el mejor de los casos, tienen potentes filtros de antispam y la mayor parte de correos no deseados quedan directamente bloqueados. El INCIBE advierte que los ciberdelincuentes han modificado sus estrategias y están optando por atacar de esta misma forma, pero por otros medios como:
– Llamada telefónica suplantando la voz de un alto directivo mediante software específico.
– Mensajería instantánea del tipo Whatsapp, Telegram, Teams, Zoom o similares.
– Notificaciones de plataformas web del tipo GoogleDrive, SharePoint y otras cloud.
RECOMENDACIONES DE SEGURIDAD: La principal medida es aplicar el sentido común, es decir, ¿es normal que un alto directivo de nuestra empresa nos solicite algo con tal urgencia? Por ello queremos recordaros que antes de caer en la trampa debemos:
– Desconfiar del nombre del alias del remitente y fijarnos siempre en la dirección de correo que aparece al clicar en botón derecho sobre dicho nombre, por si fuera falsa.
– Nunca contestar al mismo mensaje, pinchar en enlaces o descargar archivos adjuntos.
– Contactar a la persona o entidad que nos envía la petición a modo de confirmación de la solicitud, por otros medios alternativos que no vengan en el mensaje (en persona, por teléfono, a través de la página web, etc.).
– Aunque nos lo solicite un alto directivo o cargo responsable, en caso de cambio de una cuenta de proveedor, contactar siempre a ese proveedor para solicitar un justificante de titularidad bancaria de la cuenta a modificar.