La estafa del CEO

En la estafa del CEO (siglas en inglés de ‘chief executive officer’, puesto equivalente a fundador y director ejecutivo) el delincuente se hace pasar por un alto directivo de una empresa para solicitar a uno de sus empleados la revelación de información privada que puede ser utilizada posteriormente, o pedir, como en el caso que nos ocupa, una transferencia a una cuenta ajena a la compañía

En 2022, la Policía Nacional desarticuló una organización ubicada en Madrid, Albacete y Valencia, que estafó 850.000 euros a varias empresas mediante este engaño. En 2024, una empresa afincada en Hong Kong sufrió un engaño de 39 millones de dólares (34 millones de euros aproximadamente) después de que un empleado financiero recibiera instrucciones urgentes durante varias videollamadas falsas.

TÉCNICAS DE MANIPULACIÓN

CIBEREXPERTA

NOMBRE Nathalie de Seras

CARGO Directora de Protección de la Información y Cultura de Ciberseguridad de CaixaBank

“Los estafadores estudian la empresa al detalle: quiénes son las personas a cargo, quién gestiona las finanzas, quién las compras…”

CÓMO EVITAR EL FRAUDE DEL CEO

No saltarse los protocolos. Las empresas crean dinámicas de trabajo para facilitar las tareas y evitar este tipo de estafas

Verificar siempre por un segundo canal. Cualquier orden de pago, cambio en un número de cuenta o solicitud que revele información confidencial debe confirmarse presencialmente mediante un superior directo o mediante el número de teléfono habitual del alto cargo

Desconfiar de las urgencias. Especialmente ante peticiones no habituales o extrañas, aunque parezcan provenir de un alto directivo de la empresa

Cuestionar el secretismo. Sospechar ante peticiones de alto secreto o confidencialidad combinadas con adulaciones

Ante la más mínima sospecha contactar con el remitente por los canales corporativos de la empresa, preferentemente telefónicamente

De la palabra escrita a la suplantación física. La estafa del CEO, explica Nathalie de Seras, directora de Protección de la Información y Cultura de Ciberseguridad de CaixaBank, se hacía inicialmente a través de un correo electrónico en nombre de un directivo que solicitaba a un empleado una transferencia urgente. Previamente, los estafadores se habían introducido en el sistema o habían imitado la dirección y el diseño del correo para asemejarse al oficial.

Como consecuencia del desarrollo de la inteligencia artificial (IA), hoy los estafadores son capaces de manipular la imagen en vídeo para parecerse y hablar como el directivo, a través de una técnica denominada deepfake. Esta tecnología se entrena con fotos, vídeos y audios de una persona disponibles en las redes con el fin de imitarla y hacer pasar la imagen como real. De esta manera, el estafador puede aparecer en una videollamada con el aspecto y la voz de la persona suplantada. . “En el mercado hay todo tipo de programas, más sencillos o más sofisticados, al alcance de cualquiera, explica De Seras.

Los estafadores preparan el terreno. El modus operandi de los criminales suele ser el siguiente: envían una comunicación en nombre del directivo por correo electrónico, plataforma de mensajería o realizan una llamada (utilizando la tecnología deepfake de audio). En ella avisan de que se va a poner en contacto con ellos otra persona, un abogado en muchos casos, que es quien hace la petición de transferencia. En los más elaborados, como el del vídeo que abre este texto, se pide a la víctima que se conecte a una videollamada.

Robo de datos. En ocasiones los estafadores no buscan dinero directamente, sino credenciales para acceder a los sistemas de la empresa. Datos privados como contraseñas o códigos de acceso a cuentas bancarias, con excusas como esta: “No recuerdo mi contraseña y necesito unos documentos, podrías reenviarme los datos, por favor”.

Un estudio minucioso. La estafa se lleva a cabo después de una observación concienzuda de la empresa . Los criminales conocen el organigrama, quién detenta el poder para tomar decisiones y hacer pagos, así como los horarios y viajes de los directivos. Aprovechan momentos en los que los altos cargos tienen limitadas las posibilidades de comunicación, como viajes en avión, períodos vacacionales…

Así es la víctima ideal. Pese a que todas las compañías pueden ser objetivo de esta estafa, las que cumplen alguno de estos aspectos tienen más probabilidades de estar en el punto de mira de los delincuentes:

• Pymes. Las medianas y pequeñas empresas son las más vulnerables porque disponen de menos controles y menos protocolos para el funcionamiento interno. Además, sus departamentos financieros suelen ser reducidos y estar sometidos a una alta carga de trabajo.
• Empresas con pagos de grandes sumas. Como compañías de ingeniería, ya que los estafadores pueden sustraer cantidades mayores.
• Empresas que se dedican al comercio internacional. Reciben órdenes de pago de proveedores internacionales, con los que suele haber menos relación. Además, es más habitual que se presenten pagos imprevistos.
• Empresas con baja madurez digital. Un personal poco formado en ciberseguridad multiplica las posibilidades de ser víctima de esta estafa. Suelen carecer de sistemas de doble autentificación, por ejemplo.
• Empresas en momento de cambio. Los tiempos de transformación, como fusiones o adquisiciones, cambios de directivos, reestructuraciones o crecimiento rápido, vuelve más vulnerables a las compañías y más receptivos a los empleados ante las peticiones de sus superiores.

OTROS CASOS DE ESTAFA DEL CEO

Cada semana aparecen noticias con nuevas maneras de embaucar a ciudadanos con una estafa de este tipo: