Phishing y ataque al CEO

Recientemente han aparecido en prensa noticias sobre una empresa que perdió 9 millones de euros en una estafa que se llama «ataque al CEO». Esta estafa está siendo cada vez más común y los perjuicios que causa suelen ser muy llamativos. Conocemos de primera mano casos de clientes que han perdido cantidades entre 15.000 y 150.000 €, y nos tomamos muy en serio esta amenaza.

¿En qué consiste un «ataque al CEO»? Es una estafa en la que el responsable financiero de una empresa recibe mensajes, supuestamente de su jefe, solicitando que transfiera dinero a la cuenta de los ladrones. Dicho así, nadie pensaría que se trata de un ataque peligroso, pero los estafadores son especialistas en la psicología de las personas, y consiguen colar sus mensajes como auténticos. Es un ataque específico y muy dirigido, que se elabora a lo largo de semanas o meses.

Normalmente este tipo de estafas empiezan con el control de la cuenta de correo del financiero, o de alguna persona con la que el financiero intercambie facturas (algún proveedor o cliente). Una vez tienen acceso a los correos, analizan el formato de los mensajes, el lenguaje que utiliza y van investigando cuándo se va a hacer un pago. En este momento hay dos variantes fundamentales.

La variante uno consiste en esperar a que una de las partes mande una factura. La interceptan y la cambian por otra igual, pero con el número de cuenta cambiado. El pagador, que estaba esperando esa factura y le coinciden importes, membrete y nombre del interlocutor, abona la factura a una cuenta en la que desaparece el dinero. A veces también mandan un correo indicando que la cuenta de pago ha cambiado debido a problemas con el banco anterior.

La segunda variante, si lo de las facturas lleva demasiado tiempo, implica enviar un correo suplantando al jefe. En ese correo normalmente se hace referencia a una operación secreta, que no se debe comentar con nadie, ni con el mismo jefe, por miedo a que se frustre una venta importante o la compra de una sociedad. En ese correo se le pide que haga una transferencia para la provisión de fondos para la operación, o para dehar una señal o cualquier otra cosa que encaje en la forma de funcionar de la empresa. Los mensajes están específicamente diseñados para parecer del jefe: su lenguaje, su firma… todo coincide. Y la cabeza del financiero da luz verde y se procede a la transferencia.

Ese dinero, lamentablemente, pasa por la cuenta corriente de una «mula», que lo reenvía a sitios fuera del alcance normativo de España. Así, el rastro y el dinero se desvanecen.

Por ser prácticos, vamos a dar instrucciones para evitar caer víctimas de estos engaños:

  1. No nos fiemos del correo electrónico. Esta norma es básica. Es un medio inherentemente inseguro. Es fácil de falsificar.
  2. Establezcamos normas para la aprobación de las transferencias. En esas normas debe exigirse una aprobación por otra vía (conversación personal, cara a cara si es posible) de cualquier pago importante que no estuviese programado.
  3. Acostumbrémonos a pedir un certificado de titularidad de cuenta bancaria antes de hacer una transferencia importante o cambiar el número de cuenta en nuestras fichas de proveedores.
  4. Desconfiemos de cualquier cambio de cuenta a última hora. Especialmente si el país de destino no nos encaja con la nacionalidad del proveedor.

Si seguimos estas tres normas, de sentido común, podemos ponerle mucho más difícil el trabajo a los estafadores.