Cuidado con la estafa del CEO: ¿sabes cómo funciona este fraude?

23/06/2020

Continuamos nuestra serie “Protégete contra el fraude” y vamos a explicar en qué consiste la técnica conocida como estafa del CEO..

Este fraude tiene como objetivo engañar a un mando intermedio de una empresa u organismo público para que realice una transferencia desde la cuenta de la compañía o para que pague una factura falsa. Para ello, los delincuentes suplantan la identidad de un alto cargo de esa misma empresa u organismo o la de un proveedor habitual.

  • Phishing: envío indiscriminado de correos electrónicos a empleados para tratar de “pescar” información sensible haciéndose pasar por una fuente reputada.
  • Spear phishing: supone un paso más con respecto al anterior, ya que, previamente, han conseguido información de los usuarios disponible en Internet (por ejemplo, en redes sociales) y dirigen correos electrónicos más personalizados.
  • Whaling: se trata de un phishing dirigido a los peces gordos (de ahí su nombre, whale = ballena). El ciberdelincuente ha hecho un estudio exhaustivo de la víctima y conoce bien cómo funciona la organización.
  • Ingeniería social: recrean situaciones que hacen que la estafa sea más fácil. Por ejemplo, ¿qué harías si recibes un correo de tu jefe pidiéndote que hagas una transferencia para cerrar una operación financiera confidencial y urgente? ¿Te arriesgarías a cuestionar esta solicitud? Saben que es un dilema y lo usan en su beneficio.

Como empleado:

  • Revisa las direcciones de correo. Si estás usando un dispositivo móvil, pincha en el nombre para ver la dirección real.
  • Ten cuidado con los archivos adjuntos en correos electrónicos.
  • Confirma con el remitente la veracidad del email y no lo respondas hasta verificarlo. Más vale prevenir que curar.
  • Ante un cambio de cuenta bancaria (de un proveedor), comprueba su veracidad por teléfono o presencialmente. No cuesta nada confirmarlo antes de realizar un pago.
  • Si sospechas de un correo, informa al departamento de informática de tu empresa.

Como empresa:

  • Opta por emplear la banca electrónica de tu banco frente a otros sistemas menos seguros, como el correo electrónico, y establece el nivel de seguridad más alto que ofrezcan, especialmente para transferencias de importe elevado. Consulta con tu banco si disponen de medidas de seguridad adicionales, como por ejemplo, tokens de seguridad.
  • Establece protocolos internos para pagos y asegúrate de que se cumplen. Un ejemplo sería fijar un límite a partir del cual es necesario contar con la autorización de dos o más personas para proceder al pago.
  • Puesto que estos fraudes están basados en técnicas de ingeniería social, la formación a empleados es clave para que sean capaces de reconocerlos y evitarlos.
  • Es recomendable realizar campañas periódicas simulando el envío de correos de phishing para poner a prueba a los usuarios.
  • Un buen antivirus, un filtro antispam y tener actualizado el sistema operativo son medidas de seguridad informática cruciales para evitar que espíen nuestro correo electrónico.

Descarga esta infografíaAbre en ventana nueva elaborada por la Asociación Española de Banca (AEB) y la Europol con consejos para evitar ser víctima de esta estafa.

 

Recuerda que una transferencia es un mandato de pago irrevocable y, por lo tanto, las entidades no estarían facultadas para realizar una retrocesión de transferencia sin el consentimiento del titular beneficiario de la misma.

 

¿Te ha parecido útil esta información?