Estafas en internet: La estafa del CEO

La Ingeniería Social (un tipo de estafas en internet) cuenta con muchos tipos de ataques dirigidos a engañarnos para dar nuestros datos personales. El más conocido es el Phishing, donde a través de correos electrónicos masivos, los ciberdelincuentes se hacen pasar por compañías, entidades financieras… e intentan que les demos nuestros datos privados o financieros utilizando diversos trucos y artimañas. Otro de los ataques de Ingeniería Social es el Vishing, donde los ciberdelincuentes se hacen pasar por trabajadores de este tipo de empresas y nos contactan por teléfono para pedirnos información privada y/o financiera.

La estafa del CEO es un ataque lanzado contra empresas. El CEO de una empresa es el director ejecutivo, la estafa se llama así porque los ciberdelincuentes se hacen pasar por el director (CEO) de una empresa o por alguien con autoridad en esa empresa, para engañar a otros trabajadores y forzarles a hacer ingresos de cantidades grandes de dinero en cuentas del extranjero.

¿Cómo funciona este ataque?

Los ciberdelinuentes realizan una investigación previa de la empresa y de los trabajadores a través de internet y las Redes Sociales. Una vez que tienen toda la información a cerca de la estructura de la empresa y de las funciones de los directivos y trabajadores, intentan hackear el correo electrónico corporativo de aquellos que tienen la capacidad de hacer pagos o ingresos de dinero, o de aquellos que tienen la capacidad de ordenar pagos o ingresos de dinero.

Para hackear sus cuentas de correo realizan ataques llamados “Spear Phishing”. La diferencia entre el Phishing y el Spear Phishing es que en el primero se lanzan correos electrónicos falsos de forma masiva para que la mayor cantidad de gente posible “pique” y les den sus datos, y en el segundo ataque los correos se mandan de forma más selectiva a las personas seleccionadas, y además estos correos están completamente personalizados para hacerlos más creíbles.

Cuando alguna de las potenciales víctimas cae y los ciberdelincuentes tienen acceso a una de las cuentas de correo, no se conforman, y desde esa cuenta suelen mandar correos maliciosos a todos los contactos que tiene esa cuenta de correo para hackear el mayor numero de cuentas posibles. Generalmente mandan correos maliciosos a contactos que tengan la misma o más responsabilidad en esa u otras empresas que la que tiene el propietario o la propietaria de la cuenta intervenida. Una táctica muy utilizada es simular que se comparte un documento en un servicio en la nube donde hay que introducir un nombre de usuario y una contraseña para acceder. Una vez introducidos, se finge un error en la descarga para que no haya sospechas, pero los ciberdelincuentes ya han obtenido ese nombre de usuario y esa contraseña.

Cuando los ciberdelincuentes tienen acceso a cuentas de correo de personas con la capacidad de hacer u ordenador pagos o ingresos pueden suceder varias cosas:

Puede suceder que desde la cuenta de alguien que tenga autoridad para hacerlo, se envíe un correo electrónico al departamento o persona encargada de realizar pagos para que haga un ingreso en una de las cuentas con las que trabajan los ciberdelincuentes, generalmente en el extranjero, en países donde resulta difícil la colaboración policial.

Puede suceder que los ciberdelincuentes monitoricen las cuentas de correo a las que tienen acceso en busca de transacciones que están en proceso de realizarse, y cuando detectan una de estas transacciones, en el último segundo intervengan mandando un correo electrónico desde la cuenta intervenida para cambiar el numero de cuenta donde se va a hacer el ingreso, poniendo como excusa que por ejemplo han tenido un problema con la entidad bancaria original.

Las cantidades estafadas varían desde 20.000 euros hasta 1.800.000 euros, pero de media son unos 600.000 euros. Este tipo de ataques o estafas es muy difícil de detectar y para evitarlos debemos seguir las pautas de seguridad para evitar caer en ataques de Phishing y Spear Phishing, sobre todo si tenemos algún tipo de responsabilidad en una empresa.