Ejemplo:
Imaginemos que formamos parte de los departamentos de Administración, RRHH o Financiero y recibimos una solicitud por parte de un supuesto emplead@ o de su responsable directo, para cambiar el número de cuenta personal en la cual recibe su salario.
Una petición que podemos entender como habitual o incluso inofensiva, puede causar graves daños a nivel laboral si no seguimos los procedimientos y no hacemos una correcta comprobación.
Situación actual:
De acuerdo a recientes estudios, a pesar de que este ciberataque no es aún de los más habituales, sí ha afectado a aproximadamente un 70% de empresas y entidades en los últimos 12 meses. Y esto con independencia de su sector de actividad, o de si son públicas o privadas.
¿Qué implica?
Consiste, de nuevo, en suplantar la identidad de una persona dentro de nuestra empresa. La petición se podrá recibir por distintas vías (correo electrónico, mensaje de texto, teléfono, etc.). Y no solo la reciben las personas que gestionan las nóminas, sino que el ciberdelincuente también puede esperar que internamente se reenvíe la petición al departamento que corresponda.
En caso de éxito, los trabajadores cuya identidad se ha suplantado dejarán de percibir, de un mes a otro, su nómina. Porque la misma habrá sido desviada a una cuenta de un ciberdelincuente.
¿Cómo podemos evitar esto?
Aplicando la lógica común: Tomémonos un tiempo para revisar la petición.
- Si en procedimientos internos se indica que se ha de solicitar por correo o por una plataforma específica, no confiemos en cualesquiera llamadas o mensajes de texto o voz que podamos recibir, sin estar seguros de que no se trata de un engaño.
- Aun en el caso de que la petición se haya realizado por la vía de comunicación adecuada, hagamos una segunda comprobación llamando a la persona que nos está solicitando el cambio. Esto nos permitirá verificar si se trata de un fraude o es una petición real. Es muy importante que no intentemos hacer esa comprobación contestando al mismo mensaje o haciendo uso de datos de contacto indicados en el mismo, porque podríamos poner en alerta de nuestra sospecha al cibercriminal y sería peor.
- Si para realizar transferencias se requiere una doble aprobación o comprobación interna, no cambiemos datos de pago, ni hagamos este tipo de transacciones a la ligera. Por mucho que puedan entenderse como habituales. Lo ideal en estos casos sería solicitar un justificante de titularidad de cuenta bancaria, para que quede constancia de la legitimidad de este cambio.
RECORDAMOS NUEVAMENTE: Si crees que has sido víctima de este tipo de ciberataque, avisa de ello en el ámbito laboral al Dpto. de IT, CISO o DPO y en el ámbito personal denúncialo ante la autoridad policial.
