Según el FBI, este fraude del CEO ya ha costado más de 2.300 millones de dólares a empresas de todo el mundo.
El problema es que, para evitar daños reputacionales, muchas empresas optan por no hacer público que han sido víctimas de esta estafa, por lo que se invisibiliza este problema que no para de crecer año tras año.
¿Cómo procede el fraude del Ceo?
Primeramente, los cibercriminales seleccionan a dos objetivos en una determinada empresa: un señuelo, que normalmente será un alto directivo o el propio CEO. Y un empleado ejecutor, habitualmente un miembro del equipo de administración y finanzas de la empresa, entre cuyas obligaciones se encuentre realizar movimientos de dinero.
Una vez fijados los dos objetivos, los ciberdelincuentes recopilan información pública sobre la empresa. También llegan a realizar ataques menores con malware para obtener información que les pueda servir para montar el escenario perfecto para hacerse pasar por el directivo o CEO.
Llegado el momento, los ciberdelincuentes pueden aprovechar unas vacaciones, un viaje o cualquier otra situación poco habitual en la que el CEO se encuentre menos localizable o que pueda entorpecer la comprobación de la transacción.
El empleado autoriza la operación, y el dinero transferido se pierde inmediatamente sin dejar rastro tras pasar por un entramado de cuentas secundarias.
Es cierto que el fraude requiere de un proceso mucho más elaborado y dirigido, pero el botín que pueden conseguir los ciberdelincuentes también acostumbra a ser mucho.
Cómo pueden protegerse las empresas frente a este fraude
Uno de los ejemplos más recientes en España de este tipo de fraude ha sido el que ha sufrido la EMT de Valencia, cuyo balance de la estafa se salda con unas pérdidas valoradas en cuatro millones de euros.
Por ejemplo, establecer una serie de protocolos en los que cualquier transferencia de dinero de cierta cantidad pueda ser verificada por varias personas. De forma que la responsabilidad de la operación no recae sobre una sola persona. Y se verifica la operación por dos superiores, complicando la ejecución del fraude.
Instalar y configurar filtros antispam y un buen antivirus; mantenerlo al día, actualizando el software y las firmas de malware.
Formación continuada y la concienciación de todo el personal, incluidos los directivos, con charlas informativas periódicas.
No te pierdas de más información y nuestros vídeos.