Crece la incidencia del fraude del CEO en España

Entre las ciberamenazas a las que se enfrentan las empresas españolas hay una que, a pesar de no ser especialmente sofisticada técnicamente, ha provocado cuantiosas pérdidas desde hace algunos años. Se trata del “fraude del CEO”, un ataque que utiliza la ingeniería social para conseguir que su objetivo realice transferencias de importantes sumas de dinero.

Debido a la relativa sencillez con la que se pueden realizar este tipo de fraudes, no es de extrañar que algunos delincuentes estén usando esta técnica como su principal fuente de ingresos. Sirvan como ejemplo las recientes detenciones de tres jóvenes en Sagunto y de un hombre en Baños y Mendigo (Murcia). Los primeros, detenidos por la Guardia Civil en el marco de la llamada “Operación Tarbes”, han sido acusados de estafar mediante 98.000 euros mediante fraude de CEO tras interceptar y piratear los correos electrónicos de las empresas afectadas, mientras que el adulto detenido por la Policía Nacional estaría implicado en la realización de al menos tres estafas por la modalidad del CEO, en las que habría logrado sustraer más de 300.000 euros.

El método usado para conseguir su objetivo en ambos casos era similar y consistía en interceptar correos con facturas de proveedores, cambiar el número de cuenta en el que se debían realizar los pagos y esperar a que la víctima realizase la transferencia. Los delincuentes podrían haber obtenido acceso al email de algunos empleados previo robo de las credenciales, usando, por ejemplo, alguna de las múltiples amenazas especializadas en el robo de información que llevan propagándose desde hace meses. Una vez los delincuentes averiguan que personas de la empresa tienen capacidad para realizar transferencias de dinero es cuando actúan enviando el correo con la factura modificada o suplantando la identidad de algún directivo.

Si bien la mayor parte de estafas del CEO siguen un patrón similar, ESET ha visto cómo han evolucionado. Actualmente, los delincuentes no solo consiguen las credenciales para revisar los correos electrónicos que envían y reciben sus futuras víctimas, sino que se toman la molestia de editar las facturas que envían suplantando a los proveedores para incluir los datos de alguna cuenta bancaria controlada por ellos. De hecho, en algunas ocasiones los delincuentes han ido más allá e incluso han llegado a utilizar inteligencia artificial para imitar la voz de un CEO en particular y tratar de ser así más convincentes.