'Fraude del CEO': la estafa que llega a las empresas por correo electrónico

El fraude del CEO (Chief Executive Officer) suele ejecutarse a través del correo electrónico por una de estas dos vías:

• Suplantando la identidad de un proveedor habitual: en el correo electrónico, por ejemplo, se solicita al empleado la modificación de un número de cuenta en el que realizar un pago.

• Suplantando la identidad de un alto directivo o socio de la empresa: se solicita a la víctima que lleve a cabo una operación corporativa confidencial o urgente, como la adquisición de una compañía en el extranjero o un bien inmueble.

Las falsas operaciones están disfrazadas de órdenes de pago excepcionales por su carácter de urgencia o confidencialidad, pero mantienen la apariencia habitual de las operaciones de la compañía; de esta forma, los delincuentes consiguen engañar a la víctima. Las transferencias tienen generalmente destino Asia o África, de forma que, una vez detectado el fraude, la diferencia horaria o las barreras idiomáticas dificultan las posteriores gestiones de recuperación.

¿Cómo prevenir el fraude del CEO en las empresas?

• Concienciar y formar a los empleados para que sean capaces de detectar los intentos de fraude. Para ello deben revisar detenidamente los correos electrónicos: comprobar el dominio y la dirección del servidor del remitente, atender a la redacción de los correos en busca de faltas de ortografía, expresiones o palabras que no sean comunes en la compañía, ser cautos ante movimientos fuera de lo común, solicitudes urgentes y órdenes a números de cuenta no realizadas anteriormente, ser precavidos a la hora de seguir enlaces incluidos en los correos electrónicos y a la hora de descargar ficheros dudosos.
• Tener en cuenta que las entidades financieras nunca van a solicitar contraseñas, claves o datos sensibles a través de correos electrónicos o llamadas telefónicas. Para operar de forma segura, las empresas clientes de BBVA deben hacerlo a través del entorno seguro de Net Cash y BBVA.es, de esta forma los datos estarán protegidos y se evitarán fugas de información comprometedora para la compañía.
• Extremar las precauciones en dispositivos móviles. Es mucho más sencillo detectar un 'phishing' en un equipo de sobremesa o en un portátil que en un 'smartphone'. Si el empleado abre el correo fraudulento en un dispositivo móvil tendrá más dificultades para comprobar la identidad del remitente, y si se deja llevar por la urgencia del mensaje, es más probable que realice la operación que el delincuente le requiere o que desvele datos sensibles de la empresa.
• Revisar los protocolos de la empresa; por ejemplo, establecer un sistema de doble verificación para autorizar movimientos sensibles, como un tercero que ratifique la orden, utilizar contraseñas robustas que cambien regularmente y estén protegidas ante filtraciones.
• Proteger la información corporativa. Evitar que los datos de la organización se publiquen en redes sociales, webs, etcétera, para que no sean utilizados por los atacantes para perpetrar suplantaciones de identidad y hacer solicitudes creíbles (información sobre reuniones, agendas, horarios, viajes, operaciones, estructuras internas, comunicaciones habituales dentro de la empresa, sistemas comunes de pago, procesos internos…).

El conocimiento y concienciación acerca del 'modus operandi' de este tipo de estafas es muy importante para evitar que las empresas se conviertan en víctimas de ellas. Recuerda, la defensa eres tú.