¿Qué es el “Fraude del CEO”?
El Fraude del CEO es un tipo de ciberataque que puede cometerse utilizando los métodos comentados hasta ahora; a través de Phishing (correo electrónico), Vishing (llamada telefónico o videollamada) y Smishing (mensaje de texto o envío de un vídeo o audio).
Consiste en suplantar la identidad de una persona con un cargo o puesto de autoridad o responsabilidad dentro de la empresa privada o entidad pública. Aunque haga referencia al CEO (Director General), pueden ser suplantados cualesquiera directivos, consejeros, coordinadores o incluso cargos políticos y personalidades públicas.
Lo que se pretende es que el Usuari@ confíe plenamente en la comunicación recibida, porque se trata de una persona de confianza y cuya solicitud debe ser atendida sí o sí. De hecho, actualmente y mediante Inteligencia Artificial es cada vez más fácil crear comunicaciones falsas utilizando la imagen y voz reales de una persona (como podemos ver en la imagen de ejemplo, con caras de famosos). Además, para evitar que los Usuari@s tengan tiempo de pensar detenidamente la respuesta o de detectar el fraude, casi siempre las peticiones realizadas por estos medios suelen ser de extrema urgencia.
¿Qué implica esto?
Que, si nuestro jefe/a nos pide con urgencia cambiar una contraseña, descargar un archivo, hacer una transferencia o facilitarle algún dato o información, lo más seguro es que le atendamos lo antes posible, sin pensar mucho en si tiene sentido lo que nos está solicitando.
¿Cómo podemos detectar estos ataques?
- Contactando por otros medios: Una llamada realizada a esa persona que nos está solicitando algo con urgencia, nos permite verificar si se trata de un fraude o es una petición real. Es muy importante que no intentemos hacer esa comprobación contestando al mismo mensaje, porque podríamos poner en alerta de nuestra sospecha al cibercriminal y sería peor.
- Aplicando la lógica común: Tomémonos un tiempo para pensar si lo que se está pidiendo es habitual o, incluso, si se están utilizando las vías indicadas en políticas corporativas o procedimientos de trabajo para ese tipo de peticiones. Veamos algunos ejemplos:
-
- Si en procedimientos internos se indica que el cambio de contraseñas se ha de solicitar por correo a una dirección de soporte concreta o por una plataforma específica, no confiemos en cualesquiera llamadas o mensajes de texto o voz que podamos recibir, sin estar seguros de que no se trata de un engaño.
- Si tenemos prohibido enviar información por Whatsapp o servicios similares, nuestro superior nunca nos va a pedir documentos o datos confidenciales por este medio.
- Si para realizar transferencias se requiere una doble aprobación o comprobación interna, no cambiemos datos de pago, ni hagamos este tipo de transacciones a la ligera. Por mucho que sean urgentes.
-
RECORDAMOS NUEVAMENTE: Si crees que has facilitado información personal o profesional, que no tenías que haber desvelado debido a este tipo de ciberataque, avisa de ello en el ámbito laboral avisa al Dpto. de IT, CISO o DPO y en el ámbito personal denúncialo ante la autoridad policial.