Un correo electrónico llega a la bandeja de entrada de un empleado. En el mensaje, el remitente firma como el CEO de la compañía y solicita, con tono urgente y confidencial, la realización de una transferencia bancaria inmediata. Si la persona cae en el engaño, la empresa puede perder grandes sumas de dinero.
Este tipo de fraude, conocido como “fraude del CEO”, es una modalidad avanzada de phishing orientada a quienes poseen acceso a recursos económicos en las empresas. Según el Instituto Nacional de Ciberseguridad de España (INCIBE), genera cada año millones de euros en pérdidas en Europa, con especial incidencia en las pymes.
Asimismo, la sofisticación de estas estrategias y el uso de la ingeniería social, los convierten en una de las consultas empresariales más frecuentes en los servicios de ciberseguridad.
Cómo suplantan a jefes de una empresa para cometer varios delitos
El fraude del CEO consiste en la suplantación de la identidad de un alto directivo como el CEO, presidente o director de una empresa, a través de un correo electrónico dirigido a un empleado que tiene autorización para efectuar pagos o transferencias.
El mensaje solicita una acción financiera urgente y confidencial, buscando evitar cualquier tipo de consulta o validación previa. INCIBE informa que este fraude figura entre los diez temas más consultados por empresas en su servicio ‘Tu Ayuda en Ciberseguridad’, con un incremento sostenido en los últimos años.
Entre las razones de este aumento se destacan la creciente exposición de datos de directivos en redes sociales profesionales y la publicación de organigramas empresariales.
Estos factores facilitan que los ciberdelincuentes diseñen ataques más personalizados y difíciles de detectar, porque disponen de nombres, cargos y detalles internos que usan para simular situaciones financieras legítimas y urgentes.
De qué forma los ciberdelincuentes hacen que los mensajes sean más convincentes
Los atacantes analizan de manera exhaustiva la estructura y actividad de la empresa antes de perpetrar el fraude. Utilizan técnicas de información pública (OSINT) para recopilar datos sobre el organigrama, información de directivos y fechas de ausencias, junto con detalles de clientes y proveedores.
También, monitorizan correos electrónicos e interacciones para entender los flujos de trabajo y las rutinas financieras de los empleados. Una vez identificada la víctima, envían un correo que aparenta total legitimidad, tanto en el formato como en el lenguaje.
Estas comunicaciones incluyen frases como: “Es urgente y confidencial. No informes a nadie” o “Confío en tu gestión, haz la transferencia antes de las 14:00”. De esta forma, se aprovechan de la confianza y la autoridad que tiene el supuesto remitente, y así evitan que el receptor cuestione la autenticidad de la orden.
Por qué las pequeñas empresas son las más vulnerables
Pese a que todas las empresas son blanco potencial de este fraude, las pymes resultan las más afectadas. Esto ocurre por la ausencia de protocolos internos de verificación y la falta de capacitación específica en ciberseguridad.
Un volumen menor de personal lleva a que una sola persona tenga una gran responsabilidad sobre las operaciones financieras y acceso a cuentas relevantes, lo que convierte a ese empleado en objetivo prioritario.
Los expertos revelan que la ausencia de controles de doble validación y la costumbre de asumir comunicaciones urgentes por parte de la alta dirección elevan el riesgo. Además, los recursos limitados hacen más difícil implementar medidas avanzadas de detección, lo que deja a las pymes expuestas a varios ciberataques.
Cómo pueden las empresas evitar caer en estos fraudes
La prevención comienza con la concienciación y la formación en ciberseguridad del personal de la organización, que esté orientada a la detección de correos sospechosos.
Es vital verificar siempre por una vía alternativa cualquier solicitud de pago urgente. Hay que comprobar el dominio del remitente letra por letra, para identificar alteraciones en la dirección de correo.
Además, la aplicación de una regla de doble control en transferencias superiores a un determinado importe, ayuda a reducir el riesgo de amenazas.
Conviene definir procedimientos claros para verificar nuevas cuentas de pago, así como limitar la exposición pública de datos de directivos y procesos internos en la web y redes sociales corporativas.
Últimas Noticias
Starlink en Argentina: todo lo que debes saber para tener el internet satelital y su precio
El objetivo del servicio de Elon Musk es conectar cualquier parte del planeta, con especial énfasis en regiones donde las redes tradicionales son inestables o no pueden llegar
“La IA alucina. Debería ser la tecnología en la que no se debe confiar tanto”: Sam Altman, creador de ChatGPT
El ejecutivo considera que el uso masivo puede propagar desinformación si no se verifican los datos generados
Google y su servicio de internet satelital, al estilo de Starlink de Elon Musk
Gracias a terminales ópticas de bajo consumo y fácil instalación, este tipo de tecnología busca superar las barreras físicas y reducir los costos de acceso a una red estable en lugares de difícil cobertura
Starlink Mini: qué es y cómo usar en iPhone este internet satelital
La antena Starlink Mini cubre 112 m² y es ideal para cabañas, vehículos y sitios sin red convencional, o para usuarios que quieran una conexión portátil
El legado de Steve Jobs y la nueva era de la competencia por talento tecnológico
Las tácticas de acuerdos secretos entre empresas del pasado contrastan con la actual guerra abierta por especialistas en inteligencia artificial, donde la motivación y el propósito pesan tanto como la compensación económica
