Fraude del CEO

Artículo

'Fraude del CEO': el millonario timo en el que nadie admitirá haber caído

Más de 130 países ya han sufrido casos de este fraude entre sus empresas. A pesar de su corta existencia, se estima que el Fraude del CEO ya ha costado a las empresas e instituciones más de 9.000 millones de dólares desde 2013.

La ingente cantidad de información en Internet de cualquier institución facilita la sofisticación de los ataques y su efectividad. Se caracteriza por la suplantación de la identidad del CEO o máximo responsable de una empresa, el engaño a un cargo medio/alto de su organización, la petición confidencial de una transferencia bancaria de una alta suma de dinero y el apelo a la profesionalidad del estafado.

"Imagine que el presidente de su compañía está a punto de embarcar en un vuelo de larga distancia desde Nueva York. Como director financiero, le llama y le comunica que, para cerrar una operación muy importante, necesita que haga una transferencia de una elevada suma de dinero a la cuenta bancaria que le indica. ¿Lo haría usted? Si la respuesta es sí, acaba te caer en el Fraude del CEO". Así daba comienzo Marta Morales, socia de Deloitte Legal, al desayuno de trabajo que Deloitte organizó con el objetivo de analizar este fraude cada vez más común, pero cuyas víctimas rara vez salen a la luz.

Un fraude en pleno apogeo

"Este elaborado fraude, según el FBI, costó más de 5.000 millones de dólares a las empresas de todo el mundo entre 2013 y 2017, cifra que se estima haya superado ya los 9.000 millones a día de hoy a nivel mundial", continuó Marta.

"Asimismo, entre enero de 2015 y diciembre de 2016, estos ataques aumentaron un 2.370% en más de 130 países. Las cifras son difíciles de actualizar, pues las víctimas de este fraude, generalmente grandes empresas, velan por mantenerse en el anonimato y no añadir el daño reputacional al perjuicio económico sufrido".

"Se conoce como phishing a la suplantación de identidad con el objetivo de obtener información confidencial o conseguir que un tercero realice una acción no autorizada", explicó David Barquero, manager de Risk Advisory especializado en Ciberseguridad de Deloitte. "El 'Fraude del CEO' es un tipo de phishing avanzado, basado en el estudio minucioso de una compañía y su día a día, y perpetrado luego con la ayuda de las últimas tecnologías, como la imitación perfecta del tono de voz, e incluso el acento, del ejecutivo que se quiere suplantar, vía software avanzado".

Este fraude se diferencia del resto de timos online en que siempre tiene como objetivo "engañar a un empleado con cierta responsabilidad dentro de la organización, suplantando a su CEO o máximo representante, apelando a su profesionalidad y solicitando una transferencia inmediata de una suma considerable de dinero".

Hackeando a su empresa en 3, 2, 1...

Los ciberdelincuentes tienen muchas formas de acceder a los sistemas internos de una empresa. "Se puede hackear a un empleado que intente acceder a su correo desde una página web en apariencia idéntica a su portal de inicio, pero que está falsificada por el hacker. También desde un proveedor o cliente, mediante el envío online de facturas", alerta David, sobre la facilidad de infiltrarse en una empresa.

"La prevención está muy bien, pero la detección es fundamental", añade. En una prueba diagnóstico con un cliente, "de los 50 profesionales a los que llamamos afirmando ser del equipo de Seguridad Informática de la compañía y solicitando sus claves para instalar una actualización informática, 48 cayeron en el engaño".

La vuelta al mundo en transferencia

Una vez se ha realizado el envío de dinero, éste empieza a moverse. "Las mulas de dinero o cómplices de blanqueo son personas que se dedican a recibir el dinero robado en sus cuentas para luego, previo pago de una comisión, reenviarlo a varias cuentas más, diseminando el importe y dificultando su recuperación", explicó Rafael Merediz, manager de Financial Advisory de Deloitte.

"En estos casos, realizamos un análisis forense con el que podemos preservar la información online con un precinto digital, una custodia total de todos los datos como de una prueba física de un delito se tratara. A partir de ahí, buscamos un rastro que nos lleve al perpetrador".

Hay veces que pasa mucho tiempo entre la transferencia del dinero y el descubrimiento del fraude, lo que, a juicio de Rafael, "ralentiza el proceso, pues el delincuente se ha beneficiado de la profesionalidad y confidencialidad que exigió a los profesionales estafados. Una vez descubierto, se analizan palabras clave, direcciones webs comunes, cuentas consideradas atractivas para hackear o background de los propios empleados, clientes o proveedores, para encontrar el rastro".

"El 'Fraude del CEO' no solo se causa daños económicos, también expone gravemente la reputación de una organización", señala María Martínez-Alcalá, manager a su vez de Financial Advisory. "¿Qué pasaría con los clientes si se enteran de que la empresa a la que han confiado su información no es capaz de mantenerla a buen recaudo, seguirían confiando en ella?".

¿Qué medidas legales se pueden adoptar?

Según Mercedes Farrán, asociada senior de Deloitte Legal, "hay que analizar caso por caso. El ordenante y su proveedor de servicios de pueden acordar la forma en que se considerará prestado el consentimiento para la ejecución de una transferencia y, en este sentido, pueden haber establecido un protocolo para la operativa transaccional diaria que no requiera de apoderamientos formales".

En cuanto a los pronunciamientos judiciales sobre la materia, apuntó que "las demandas frente a las entidades financieras no suelen tener favorable acogida en los supuestos en los que éstas consiguen acreditar que actuaron con diligencia y conforme a los protocolos de seguridad establecidos".

"Hemos de partir de la premisa de que el estafador, antes de llevar a cabo el fraude, obtiene información relevante de la compañía accediendo a sus sistemas informáticos", añadió. En este contexto, "se podría plantear la posibilidad de demandar a la empresa de ciberseguridad, por ejemplo, que se hubiera contratado para impedir este tipo de hechos, siempre, claro está, que fuera posible acreditar la negligencia de dicha compañía por haber omitido elementales medidas de seguridad".

Desde un punto de vista laboral, para Patricia Millán, también asociada senior de Deloitte Legal, "es notable la complejidad de adoptar medidas disciplinarias contra el empleado ejecutor de las acciones que conllevan a la perpetuación del fraude, dado que el fraude se produce por la suplantación de la personalidad de la figura del CEO, o un directivo de la empresa, así como la importancia de la proporción entre los hechos y las medidas disciplinarias adoptadas".