Fraude del CEO, la precipitación se paga cara

Por más enojo que provoque, el phishing sigue siendo la principal amenaza que sobrevuela sobre las organizaciones. Un reciente informe de Trend Micro confirma al correo electrónico como el gran vector de ataques de ingeniería social; esta firma asegura haber bloqueado más de 33,6 millones de amenazas de email en la nube en 2021, un 101% más que un año antes.

Y entre todas las variantes del phishing, el tipo de ataque BEC (Business Email Compromise), más conocido como fraude del CEO, se ha convertido en el más nocivo en términos económicos. El FBI apunta que el pasado año recibió unas 20.000 denuncias y calcula que los daños ascendieron a 2.400 millones de dólares.

En nuestro país se han venido produciendo detenciones de varias personas vinculadas con este sistema de robo que consiste en la suplantación de identidades para conseguir que la víctima efectúe un pago o envíe datos confidenciales convencida de que el receptor es una persona de confianza, normalmente el director general de su compañía cuyas órdenes no suelen tener discusión, pero también puede tratarse de un presunto policía, un supuesto abogado o un ‘proveedor de toda la vida’.

Cuando los atacantes se hacen pasar por abogados pueden conseguir con sus malas artes datos que normalmente nunca se facilitarían a otro tipo de profesional

El FBI define cuatro partes bien diferenciadas: elección del objetivo, plan de ataque, ejecución y cobro del pago. En la primera fase consiste en la elección adecuada de la presa, normalmente siguiendo un criterio económico, tras una vigilancia de días o semanas. En segundo lugar, los atacantes generan cuentas de correo falsas con ligeras variaciones de las originales y dando una apariencia de mensaje legítimo; aunque a veces hackean la cuenta directamente.

En la tercera fase, el delincuente envía un mail con instrucciones utilizando un tono halagador y apremiante para convencer al destinatario de que siga sus instrucciones sin que le de tiempo a sospechar que se trata de una trampa. Una vez que los ciberdelincuentes reciben el pago, lo distribuyen rápidamente entre varias cuentas mediante pequeñas transacciones para evitar que el dinero pueda ser recuperado o congelado por la empresa estafada.

Una variante muy utilizada es el esquema de factura falsa, que comienza con la violación de un correo de un financiero lo que permite al intruso acceder a documentos de pagos legales que luego modifica cambiando la cuenta bancaria, de tal manera que recibirá directamente el pago. La simulación de abogados es otra modalidad frecuente, Cuando los atacantes se hacen pasar por abogados pueden conseguir con sus malas artes datos que normalmente nunca se facilitarían a otro tipo de profesional.

Los expertos recomiendan vigilar el origen de los correos, pues los más utilizados son los webmail, que representan el 82% de los mensajes BEC, con Gmail como principal herramienta (62%) y Hotmail (20%). También aconsejan habilitar la autenticación multifactor para las cuentas de correo corporativas y realizar todo tipo de verificaciones antes de decidir cualquier pago. Evidentemente, el sentido común debe siempre regir cualquier decisión sobre todo cuando afecta a temas tan sensibles como son las finanzas de una compañía.

¿Necesitas un experto en Ciberseguridad?