Análisis en profundidad

La estafa del falso CEO: qué es, cómo funciona y cómo defenderse

La estafa del falso CEO es un fraude informático que consiste en ponerse en contacto con la víctima con una identidad de ejecutivo falsa, para inducirla a realizar una transferencia bancaria urgente. Aquí tienes todos los detalles y consejos para defenderte

Publicado el 29 Nov 2022

falso CEO

La llamada estafa del falso CEO es un tipo de fraude informático creado por grupos criminales bien organizados que, con antelación, adquieren información sobre la empresa que pretenden atacar. ¿Cómo? Estudiando sus actividades, funciones y modus operandi.

Una vez en posesión de la información necesaria, la estafa toma forma contactando, con una identidad ejecutiva falsa, con la persona víctima. A ésta se la induce, a través de juegos psicológicos, a realizar una transferencia bancaria urgente.

Una vez más, pues, nos encontramos ante un ciberataque que juega con el elemento humano. La única defensa posible en estos casos es actualizar y mejorar la concienciación de la plantilla de la empresa. La llamada concienciación en materia de seguridad.

Estafa del falso director general: antecedentes históricos

La estafa del falso CEO es básicamente una evolución de una estafa tradicional basada en el engaño, la persuasión y la falsa identidad, perfeccionada ahora con los nuevos medios de comunicación.

Una de las primeras formas de fraude financiero por correo electrónico que saltó a la palestra fue la “estafa al estilo nigeriano”. Apareció en 2016 en Nigeria y prometía a las víctimas generosas compensaciones a cambio de donaciones a un príncipe ficticio.

Sin embargo, el fenómeno, que ya estaba presente desde hace tiempo, se ha desarrollado a lo largo de los años, representando de hecho un factor de alto riesgo para las pequeñas, medianas y grandes empresas, con enormes daños económicos y consecuencias ruinosas.

Anatomía de un ataque

La metodología de ataque utilizada en la estafa del falso CEO es muy sigilosa y difiere del envío de spam (que suele contener elementos reconocibles y con el que las empresas y los particulares suelen tener más cuidado). ¿En qué? En que en este caso el vector es un correo electrónico, normalmente sin necesariamente ningún adjunto.

Para hacer el escenario más creíble y convincente, no se puede descartar que el atacante también intente contactar por teléfono con sus víctimas.

Los estafadores pueden hacerse pasar por un ejecutivo, un director general de la propia empresa, o un director de un socio corporativo, que requiere una transacción bancaria urgente, indispensable para el éxito de una negociación confidencial o un proyecto en curso.

Para ser lo más convincente posible, los elementos en los que se basan los atacantes son:

  • el uso de la autoridad;
  • el énfasis en la urgencia de la transacción para el éxito de la transacción confidencial;
  • la explotación concomitante y la presión psicológica de la víctima.

En la preparación de un mensaje convincente por parte de un impostor subyace la suplantación del remitente, que puede tener lugar de varias maneras que también son intercambiables:

  • La suplantación de la dirección de correo electrónico para falsificar su identidad;
  • Compromiso de la cuenta de correo electrónico (¡aún más grave!) con violación de las credenciales (Compromiso del correo electrónico empresarial);
  • interceptación de la comunicación por correo electrónico (Man in the Mail).
falso CEOFuente: 20Minutos.es

Analicémoslas en detalle.

Spoofing

Suplantación de identidad

El spoofing, técnica utilizada para falsificar direcciones de correo electrónico, direcciones IP o direcciones DNS, es precisamente un tipo de falsificación tecnológica utilizada para hacer creer a la víctima que la identidad del remitente del correo electrónico y su contenido son fiables. ¿Cómo? Mediante la creación de una dirección de correo electrónico igual o muy similar a la original.

Compromiso de la cuenta de correo electrónico

Desgraciadamente, las violaciones de datos por las que se piratean grandes cantidades de datos sensibles y se hacen públicos en bases de datos en línea son ya habituales. Entre los casos más famosos se encuentra el de la “Colección nº 1”, que supuso la violación de millones de direcciones de correo electrónico y contraseñas.

Por lo tanto, el riesgo de que se produzca un posible compromiso de una cuenta de correo (ataque BEC, Business Email Compromise) como resultado de estos eventos no es en absoluto descartable.

Las técnicas más comunes que pueden poner en peligro a las empresas, haciéndolas más vulnerables a estos compromisos, son los ataques de fuerza bruta, el phishing, el spear phishing y la ingeniería social.

Interceptación del correo electrónico

Con este modo, un atacante puede interceptar el correo electrónico de una empresa y hacer que los pagos vayan a parar a cuentas distintas de las legítimas, insertarse en conversaciones que ya hayan tenido lugar, retirar pedidos y facturas que se hayan ejecutado y producir documentación falsificada con encabezados y logotipos originales.

Los correos electrónicos utilizados también pueden contener archivos adjuntos, con el fin de apoderarse de contactos y credenciales adicionales de otros servicios.

Para llevarlo a cabo los atacantes necesitan disponer de una cantidad sustancial de información sobre el objetivo a atacar. Información que puede obtenerse a partir del espionaje interno de la empresa, de la consulta de fuentes de libre acceso o mediante cuidadosas prácticas de ingeniería social.

Estafa del falso director general: análisis de un mensaje malicioso

El escenario típico es el siguiente:

El atacante, tras un estudio preliminar destinado a descubrir los procedimientos y funciones de la empresa, pasa al ataque haciéndose pasar por un directivo de la empresa y enviando un correo electrónico falso al contable para el pago de una transferencia.

Cómo protegerse de la suplantación de identidad

La verdadera amenaza que supone la suplantación del remitente de un correo electrónico explota esencialmente una limitación relacionada con:

  • la falta de gestión de la autenticación por parte del protocolo estándar SMTP, responsable de la transferencia del correo electrónico;
  • la característica, común a todos los clientes de correo electrónico, de mostrar normalmente solo el nombre del remitente como cabecera del mensaje.

Estos dos factores hacen que la identidad del remitente pueda ser disfrazada a través de alias engañosos.

Para buscar la verificación de la identidad y excluir el engaño, es importante mostrar las cabeceras completas del correo electrónico recibido. Esta información puede obtenerse tanto si se utiliza un cliente de correo como un servicio de correo web. ¿Cómo? Buscando en las propiedades del mensaje o en las opciones de un menú como Mostrar cabeceras, Mostrar detalles o Leer cabecera.

En caso de duda, siempre es aconsejable que un experto analice las cabeceras (visibles y ocultas).

Cómo averiguar si su correo electrónico ha sido pirateado

En el caso de que el correo fraudulento se haya enviado desde el buzón original y no desde una dirección falsificada, estamos ante un caso de violación de la cuenta y no ante una simple “suplantación de correo electrónico”.

Para saber a tiempo si existe el riesgo de una eventualidad de este tipo antes de que sea demasiado tarde, existen sitios y herramientas especiales bastante útiles. Éstas son capaces de establecer si una dirección de correo electrónico ha sido o no objeto de una violación en el pasado.

Entre las diversas posibilidades que ofrece la web se encuentran algunos servicios:

Qué hacer para defenderse de la estafa del falso CEO

Para contrarrestar la estafa del falso CEO y la posibilidad de que los delincuentes comprometan la cuenta de correo electrónico de su empresa infectando su identidad digital y captando contactos sensibles, es imprescindible:

  • Disponer de políticas y protocolos para el tratamiento de los correos electrónicos en general y, en particular, de los que solicitan transferencias y otra información sensible (procedimiento interno antifraude)
  • prever procedimientos de retroalimentación para verificar a los remitentes;
  • Implicar a toda la dirección de la empresa en el plan de gestión del control;
  • Formar al personal a todos los niveles, informándoles de los tipos de fraude posibles y concienciándoles de los factores de riesgo reales
  • utilizar contraseñas fuertes o incluso mejores cadenas alfanuméricas (frases de contraseña), cambiándolas periódicamente, para contrarrestar los ataques de fuerza bruta o basados en diccionarios
  • Considerar la adopción de técnicas de autenticación de múltiples factores.
falso CEOFuente: Ruralvía

Por Salvatore Lombardo

Prohibida su reproducción total o parcial.

¿Qué te ha parecido este artículo?

¡Su opinión es importante para nosotros!

Temas principales

Especificaciones

E
Empresas
P
phishing

Nota 1 de 4