La estafa del CEO: qué es, cómo funciona y cuáles son las claves para detectarla

La Policía Nacional alertó hace varios meses de la estafa del CEO, uno de los fraudes más recurrentes y peligrosos de Internet. Los ciberdelincuentes utilizan esta fórmula para acceder a los entresijos de las empresas e instituciones sin levantar sospechas. La Agencia Europea para la Cooperación Policial (Europol) define este timo como un método para “engañar a empleados que tienen acceso a los recursos económicos” de alguna administración o compañía.

El modus operandi es relativamente sencillo. Los estafadores, por norma general, contactan con el trabajador en cuestión para forzarlo a pagar una factura falsa o pedirle una transferencia de dinero desde la cuenta de la empresa. La historia puede resultar creíble para las víctimas, porque los ciberdelincuentes se hacen pasar por altos cargos de la firma o trabajadores de otras entidades con las que son habituales este tipo de movimientos bancarios.

“Los timadores buscan personas que tienen acceso a los recursos económicos, cogen sus datos personales y estudian las principales características del negocio, para luego escenificar el robo y simular que manejan información”, detalla José Manuel Redondo, profesor de Informática y Ciberseguridad en la Universidad de Oviedo. Con los datos en la mano, localizan al empleado para pedirle “confidencialidad” y solicitar una transferencia de dinero que no suele bajar de las cuatro cifras.

El primer paso no es otro que llamar o enviar un correo electrónico, casi siempre haciéndose pasar por un directivo de la compañía. El estafador ha estudiado los entresijos de la organización y conoce bien su funcionamiento. La excusa más común para pedir el “pago urgente” es la de una inspección fiscal, una adquisición o un proyecto que está en el aire. Los ladrones utilizan expresiones como “la compañía confía en ti” y hacen alusiones al secreto profesional.

Te puede interesar: España, uno de los países con más estafas ‘online’ del mundo: “La administración pública no invierte lo suficiente en ciberseguridad”

Las instrucciones sobre cómo proceder puede darlas posteriormente una tercera persona por correo electrónico, aunque también mediante la técnica del phishing, es decir, suplantando la identidad de un alto ejecutivo con capacidad de decisión. El empleado, muchas veces presionado, hace efectiva la transferencia y pone el dinero acordado en manos del estafador. En ocasiones, los ciberdelincuentes solicitan un pago internacional a algún banco extranjero.

Lo más recomendable es invertir en formaciones en materia de ciberseguridad para familiarizar a los trabajadores con este tipo de fenómenos, tanto en la empresa pública como en la privada. Mientras tanto, los empleados tienen que prestar especial atención a cualquier llamada telefónica o correo no solicitado. La comunicación directa con un alto cargo no suele ser habitual, igual que ocurre con los acuerdos de confidencialidad. El carácter de urgencia y las amenazas o promesas de recompensa también son dos de los síntomas que pueden hacer saltar las alarmas. Los expertos proponen consultar siempre con los responsables directos de la compañía cualquier movimiento susceptible de sospecha.

Los trabajadores tienen que revisar siempre las direcciones de correo cuando manejan datos bancarios, para comprobar que coinciden con los canales habituales. Del mismo modo, no deben abrir archivos adjuntos ni enlaces sospechosos. Lo mejor es informar al departamento de informática antes de responder cualquier mail de un remitente desconocido con mensajes de estas características. Las empresas, por su parte, tienen que avanzar en la concienciación del personal y establecer protocolos internos para los pagos. La Europol también recomienda actualizar la seguridad de sus sistemas, limitar la información en redes sociales y verificar la legitimidad de las solicitudes de pago.