Las autoridades y expertos vienen anunciándolo desde hace años: los ciberdelitos no paran de aumentar año tras año y todo apunta a que seguirán haciéndolo. No siempre es fácil prevenirlos. Recientemente, un centro hospitalario de referencia en Barcelona vio sus sistemas comprometidos e inutilizados. Antes, varias empresas e instituciones oficiales habían sufrido los efectos de ataques similares.
Otros ataques, sin embargo, sí son evitables.
Una de las formas de fraude más comunes es el llamado Business Email Compromise (BEC). Básicamente, supone suplantar la identidad de otro (empresa o individuo) para, a través del email, lograr que el estafado haga algo, generalmente la transferencia de dinero a cuentas controladas por los defraudadores. El fraude del CEO es un supuesto de BEC, pero ni es el único, ni es el más habitual.
Recientemente, la Policía ha detenido a una persona por estafar 614.000 EUR a dos ayuntamientos. El “malhechor”: un joven de 20 años que, sin salir de casa ni despeinarse, se hizo pasar por una empresa proveedora y solicitó (con éxito) que el pago de determinadas facturas fuera transferido a una cuenta bajo su control. Poco dinero, para lo que podría haber sido. Y fácil de identificar, por la escasa preparación del estafador. En este artículo tratábamos esta modalidad de fraude y ofrecíamos unos sencillos consejos, que siguen siendo válidos.
Más significativo, en febrero pasado una investigación auspiciada por EUROPOL desarticuló una organización franco-israelí responsable de estafar 38 millones de euros a empresas europeas (algunas en España) con el método del fraude del CEO. Ocho detenidos, pero no más de 5 millones recuperados. No subestime a los estafadores: en España, con anterioridad, cayeron empresas farmacéuticas, navieras, de transportes… Los estafadores utilizan técnicas de ingeniería social para preparar sus ataques. Y no necesitan “hackear” los sistemas de la empresa: basta con encontrar a un empleado con facultades suficientes y convencerlo de que lo que le piden es legítimo (o no lo es, pero es en beneficio de la empresa).
Hemos tratado el fraude del CEO en varios artículos de este blog. Los consejos siguen siendo los mismos:
-
- Informe a los trabajadores de la existencia de esta modalidad de fraude y de su incidencia.
- Designe a un responsable en la organización y pida a todos los trabajadores que le remitan a esta persona cualquier correo atípico.
- Parte del engaño es el uso de direcciones de correo electrónico que se confunden con las reales (por ejemplo, una i mayúscula se confunde con la L minúscula). Hable con el responsable de informática o su proveedor de correo para que incluya automáticamente un aviso al comienzo de todo mensaje recibido, indicando –cuando proceda- que “Este mensaje se ha recibido de un remitente externo” o “Este mensaje NO procede de nuestra empresa”.
- Que el responsable de informática o su proveedor también ponga en cuarentena los mensajes enviados a posibles dominios sospechosos, incluyendo los que pueden confundirse con el de la empresa.
- Denuncie a la Policía cualquier intento de estafa.
El Instituto Nacional de Ciberseguridad (Incibe) tiene una página dedicada al Fraude del CEO, aunque algunos consejos de prevención requieren conocimientos más allá de los de un usuario típico del e-mail.
Otras modalidades son más complejas que las dos anteriores. Una de ellas, también dentro del BEC, es suplantar a una empresa conocida para realizar un pedido a la defraudada. En un caso investigado por HAS, la suplantada fue una empresa energética pública italiana sobradamente conocida. La empresa defraudada, española, sirvió el material solicitado (200.000 EUR) sin objeción alguna y en el lugar indicado por su “cliente”. El material partía al día siguiente hacia terceros países, donde era entregado a un comprador final, que nada sabía del fraude y que pagó en una cuenta controlada por los estafadores. Nada se detectó hasta 60 días después, cuando vencía el pago de la primera factura. Para estos casos, una verificación a través de un despacho de investigación privada hubiera evitado ser víctima del fraude. De paso, verificar las credenciales de clientes (entre otros) es una excelente política de compliance. Dos por uno.