Fraude del CEO: el engaño que puede vaciar la cuenta de tu pyme

¿Sabías que un simple correo electrónico puede costar miles de euros a tu empresa? 

El fraude del CEO es una modalidad de phishing en la que un empleado con capacidad para realizar transferencias o con acceso a recursos económicos, recibe un correo de su supuesto superior, bien el CEO, presidente o director de la empresa en el que le pide ayuda para realizar una operación financiera con carácter urgente y confidencial. Si el usuario no detecta que se trata de una suplantación de identidad, puede responder al correo revelando datos de extrema sensibilidad y realizando la operación solicitada. 

Este fraude se encuentra entre las diez temáticas más consultadas por empresas en el servicio gratuito y confidencial de INCIBE ‘Tu Ayuda en Ciberseguridad’, consulta que ha ido en aumento en los últimos años. Este incremento podría responder a varios factores:

• La exposición de perfiles directivos en redes sociales profesionales sigue siendo uno de los principales vectores de ataque. La publicación de nombres, cargos y estructuras jerárquicas facilita la creación de fraudes personalizados y más creíbles.
• Muchos ataques recrean situaciones aparentemente legitimas, como el pago de facturas, licencias o transferencias relacionadas con operaciones financieras inminentes.
• Además, siempre se realiza cuando el responsable no está presente o está inaccesible. Se aprovecha el momento para contactar directamente con el personal, utilizando un lenguaje convincente y urgente, lo que aumenta la probabilidad que cumpla con las instrucciones sin validación previa.

El fraude del CEO supone en Europa cada año millones de euros en pérdidas a empresas de todos los tamaños, y las pymes son especialmente vulnerables por la falta de protocolos de verificación.

Cómo funciona el fraude del CEO

Los ciberdelincuentes investigan a tu empresa, realizando un trabajo previo de reconocimiento mediante técnicas OSINT para obtener el máximo de información sobre la organización (organigrama, nombres y correos de directivos, fechas de vacaciones de los jefes, datos de proveedores y clientes…), analizan perfiles en redes sociales y monitorizan correos electrónicos para identificar quién toma decisiones de pago. 

Una vez identificada la víctima, envían un correo falso que parece legítimo y solicitan un pago urgente, con tono de presión y confidencialidad para evitar preguntas o verificaciones, utilizando frases como:

Necesito que hagas esta transferencia antes de las 14:00, confío en tu discreción

Estoy en una reunión y no puedo hablar ahora, pero es urgente

Este pago es confidencial, por favor, no informes a nadie

Hola. Estás libre ahora mismo? Contáctame por WhatsApp, este es mi número

Los ciberdelincuentes recopilan datos sobre sus víctimas que luego usan para generar confianza. Entre otros, pueden encontrar nombres y cargos de los empleados, así como listas de correos, de la web corporativa, redes sociales y otros medios.

En la mayoría de las ocasiones están varias semanas dentro del correo de la víctima, conociendo los pormenores de las operaciones antes de perpetrar el fraude, observan los correos y crean reglas específicas. Esperan a que llegue el momento oportuno para actuar, por ejemplo, cuando se espera una factura de un importe alto, hay un nuevo cliente o el responsable está de vacaciones.

Este ataque juega con la urgencia, la confianza y el miedo a desobedecer a un superior, lo que facilita que la persona encargada de pagos realice la transferencia/el pago/o la compra sin verificar, creyendo que obedece una orden legítima.

Evolución del fraude del CEO

El fraude del CEO no es algo nuevo. Durante años, los ciberdelincuentes han utilizado correos falsos o llamadas haciéndose pasar por directivos para pedir transferencias urgentes.

Sin embargo, con el auge de la inteligencia artificial esta estafa ha dado un paso más con el uso de los deepfakes. Gracias a esta tecnología, los atacantes pueden perfeccionar la técnica e incluso imitar con gran realismo la voz o la imagen de un directivo, haciendo que sus peticiones parezcan aún más creíbles en videollamadas o audios.

Por eso, es más importante que nunca mantenernos atentos y formar a nuestros equipos para identificar estas tácticas, que ya no se limitan solo a correos sospechosos, sino que pueden aparecer en reuniones virtuales o mensajes de voz. 

El fraude del CEO ha ido evolucionando y variando en distintas formas:

• Fraude del CEO que difiere en la forma de pago:
  -    Compra de tarjetas regalo (Apple, Amazon, Paysafecard…), justificadas como pagos corporativos urgentes.
  -    Solicitudes de pago directo, usando dinero de la caja o incluso fondos personales, para ingresarlo a través de cajeros físicos.
  -    Ingresos en cajeros de criptomonedas (Bitcoin) presentados como instrucciones excepcionales.
  En todas las variantes, el factor común es la urgencia impuesta por el supuesto directivo con la promesa de que el dinero aportado será reintegrado a la mayor brevedad.
• Whaling: Se trata de un tipo de phishing dirigido a “peces gordos” dentro de la organización, normalmente CEOs, directores financieros, de operaciones, etc., ya que estos tienen acceso a información sensible, autoridad y capacidad de decisión sobre asuntos económicos, lo que los convierte en objetivos valiosos para los ciberdelincuentes.
• Ataque al becario: Es un tipo de suplantación de identidad por imitación, que es la estafa más común entre las empresas. Aquí los ciberdelincuentes se hacen pasar por un jefe y contactan con los empleados recién contratados aprovechando su desconocimiento de la empresa y sus ganas de complacer. Los estafadores buscan que sean los propios becarios los que corran con el gasto, generalmente a través de tarjetas regalo.
• Fraude BEC (Business E-mail Compromise o correo electrónico corporativo comprometido): es un tipo de fraude contra empresas que realizan transferencias electrónicas de dinero. El ciberdelincuente compromete la cuenta de uno de nuestros superiores y envía correos de facturación que nos envía, cambiando la cuenta del banco donde realizar los pagos, de manera que hagamos una transferencia a una cuenta controlada por ellos.
• Fraude del CEO usando deepfakes/deepvoices: una variante más avanzada que se suele realizar mediante aplicaciones de mensajería instantánea o llamadas telefónicas en lugar de correos electrónicos. Mediante el uso de inteligencia artificial, los ciberdelincuentes logran clonar la voz o incluso grabar un video de un superior y utilizan esta tecnología para engañar a sus subalternos.

Consecuencias reales para la pyme

• Pérdidas económicas directas que muchas veces no se recuperan
• Daños reputacionales y perdida de confianza de proveedores y clientes
• Tensiones internas y posible responsabilidad de la persona que autorizó el pago.
• Pérdida de tiempo y recursos en reclamaciones y denuncias

Pasos para proteger a tu pyme del fraude del CEO

Este tipo de fraudes están basados en técnicas de ingeniería social. La mejor forma de evitarlos es concienciar a los empleados para que los reconozcan, establecer políticas en el uso del correo electrónico e implementar procedimientos seguros para realizar pagos, de tal manera que sean necesarias al menos dos personas o dos medios de comunicación distintos, como correo y teléfono, para poder ejecutarlos.

Para ayudarte a proteger tu pyme de forma sencilla y práctica, desde INCIBE hemos preparado esta checklist con 10 pasos clave para prevenir el fraude del CEO. Son medidas fáciles de aplicar que reforzarán la seguridad de tus procesos de pago y ayudarán a todo el equipo a estar preparado ante posibles intentos de fraude.

1. Verifica las transferencias urgentes: Siempre confirma cualquier solicitud de pago urgente por un canal alternativo (llamada, mensaje interno). No te dejes presionar por la urgencia.
2. Revisa la dirección de correo completa: Comprueba letra a letra el dominio del remitente. Los ciberdelincuentes pueden cambiar una letra o utilizar dominios muy similares.
3. Aplica la regla de doble control en pagos: Establece que dos personas autoricen transferencias superiores a un importe determinado.
4. Define procedimientos de pago claros: Incluye pasos de verificación para nuevas cuentas de pago y cambios de IBAN de proveedores.
5. Limita la información pública: Revisa qué información de directivos y procesos internos está expuesta en la web y redes sociales de tu empresa.
6. Forma a tu equipo: Explica a todos los empleados qué es el fraude del CEO y cómo identificarlo. La prevención es trabajo de todos.
7. Presta atención a mensajes que soliciten confidencialidad: El atacante suele indicar “es confidencial” para evitar consultas internas.
8. Sospecha de mensajes que requieran actuar con urgencia: La presión por tiempo es una táctica clásica de ingeniería social.
9. Usa filtros de seguridad en el correo electrónico: Configura alertas de dominios similares y de correos externos que simulen nombres internos.
10. Mantén actualizado tu plan de respuesta a incidentes: Si detectas un intento o has realizado una transferencia, contacta de inmediato con tu banco, denuncia a la policía y llámanos al 017. 

El fraude del CEO no distingue el tamaño de tu empresa. Con medidas de prevención, concienciación y formación, puedes proteger tu negocio, tu equipo y tus recursos de uno de los fraudes más comunes que enfrentan las pymes en la actualidad.

Descárgate la infografía con los 10 pasos para proteger a tu pyme del Fraude del CEO haciendo clic en la imagen  

Si crees que has sido víctima de este tipo de fraude, o has detectado un intento, contacta inmediatamente con la policía y con tu banco. Y recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto (seleccionando la opción de usuario de empresa o profesional) que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto relacionado con la seguridad digital.