Hace poco la oficina oficial de Seguridad de Técnicas de la Información alemana (BSI) reportó una tendencia al incremento en los ataques tipo Fraude CEO de forma precisa a las empresas. Mientras que las pérdidas en Alemania llegan a cifras millonarias y son actualizadas regularmente por la Oficina Federal de Investigación Criminal BKA, son las perdidas a nivel internacional aun más alarmantes. Las oficinas de seguridad de Estados Unidos reportan perdidas billonarias – y esto solamente hablando de los ataques tipo Fraude CEO. A través de este tipo de ataque los ciber criminales se hacen pasar por empleados o directivos de la empresa y convencen a otros trabajadores de transferir altas sumas de dinero al extranjero.
Un ataque tipo Fraude CEO es un ataque típico en el área de criminalidad cibernética el cual se usa frecuentemente. Prueba de esto es una lista que se reportó con más de 5.000 afectados que estuvieron en la mira de los criminales. Por esta razón el BSI lleva a cabo actualmente una notificación a víctimas potenciales con el fin de informarles sobre los posibles riesgos.
El Fraude CEO es una forma de Ingeniería Social y está actualmente en auge entre los criminales cibernéticos. Entre el grupo de personas en alto riesgo dentro de la empresa se encuentran empleados del área de contabilidad así como aquellos que pueden actuar en nombre de la gerencia. En este caso, se habla de personas que por ejemplo ocupan un cargo de procurador, los cuales están facultados para realizar autorizaciones sobre movimientos bancarios. Este es el tipo de cargo es el preferido de los atacantes. Así es como el contacto se realiza vía correo electrónico o vía telefónica. Los atacantes han estudiado y conocen previamente las facultades especiales del empleado y la estructura jerárquica en la que trabaja.
La operación del delincuente en un Fraude CEO
Por lo general los atacantes escogen la persona objetivo de una empresa con base en datos disponibles al público. Para esto se usa la información disponible en redes empresariales, máquinas de búsqueda de personas, redes sociales profesionales o a través de la pagina web de la empresa. Pero también un contacto personal vía teléfono o email hace parte del trabajo previo al ataque por parte de los criminales. Todos estos datos personales les sirven a los atacantes para planear los siguientes pasos. Así están los atacantes en la capacidad de adaptar correos electrónicos de forma individual a la persona objetivo y escoger igualmente el tipo de lenguaje a usar para convencer a la víctima. El objetivo final es darle a la víctima unas instrucciones precisas sobre una suma de dinero determinada.
Durante el proceso, la ventana de tiempo que usa usualmente el Fraude CEO es bastante corta con el fin de poner bajo presión a la víctima para que realice la acción esperada en cuestión de minutos o segundos. El objetivo es la trasferencia usualmente a cuentas bancarias localizadas en China o en países de Europa del Este. Como explicación para la transferencia de dinero urgente se habla de la compra de una nueva empresa. Las razones y expresiones del atacante suenan bastante plausibles a la víctima, cumpliendo así el objetivo sin problema alguno.
A menudo las víctimas aceptan el haber tomado una decisión sin haber pensado realmente en las consecuencias. En este tipo de situaciones se recomienda contactar inmediatamente al banco en cuestión con el fin de cancelar la transferencia. En algunos casos esto aun es posible. Paso a seguir, se aconseja el denunciar inmediatamente a la policía el caso de fraude. Finalmente el BSI aconseja tomar medidas de prevención internas.
Medidas preventivas para el Fraude CEO
Algunos mecanismos de protección que tienen sentido, son las siguientes formas de reacción:
1. Limitar la publicación de datos de los empleados
Actualmente se ha visto que los empleados publican frecuentemente sus números de contacto o direcciones de correo electrónico en plataformas o redes sociales.
Igualmente se ha visto que las empresas utilizan medios como los blogs para publicar informaciones relacionadas con la empresa en las que sin notarlo, dan a los atacantes información valiosa sobre las actividades de los miembros de la gerencia en un momento determinado, por ejemplo la asistencia a eventos sociales. Estos son datos muy valiosos para los atacantes que se encuentran planeando ataques tipo Fraude CEO.
2. Mecanismos de control para procesos internos
Aquí se le recomienda a las empresas a tomar actividades de precaución. El principio de cuatro ojos es una posibilidad de control. Con este sistema se implementaría un control para pagos por parte de un segundo trabajador de la empresa. Aun cuando los procesos oficiales faciliten la realización de transferencias sin comprobantes, es recomendable aplicar un principio sencillo en el que simplemente no se acepte la realización de transferencias sin solicitudes o comprobantes de pago anteriores.
Que significa esto concretamente? En la practica, significa que la realización de pagos sin el cumplimiento de requerimientos comerciales previos por parte del departamento de contabilidad no sean posibles. Esto implica un trato consecuente con todos los empleados relacionados. Estas medidas de precaución también deben implementarse de igual forma con los superiores. Un correo electrónico del gerente general solicitando la realización de un pago sin un comprobante no es suficiente. Estas reglas también deben cumplirse aun cuando los empleados se encuentren ausentes por vacaciones.
3. Sensibilizar a los empleados para evitar el Fraude CEO
Los empleados deben conocer previamente a fondo los peligros relacionados con el Fraude CEO. Solo así pueden responder de una forma soberana al verse enfrentados a tal situación. El objetivo de toda gerencia debe ser el inculcar a los empleados una forma de actuar crítica que proteja a la empresa contra un posible ataque de fraude. Los empleados deben tener la posibilidad de hacer preguntas que contengan igualmente un nivel saludable de escepticismo.
4. Alerta a posibles discrepancias en la realización de transacciones
Como deben actuar los empleados de una empresa en caso de discrepancias en la realización de pagos? El primer paso debe ser la confirmación de la dirección de correo del remitente. Punto a seguir, el chequeo de la ortografía y de el contenido del correo junto con verificación de la veracidad de la solicitud de pago. Es posible comprobar la veracidad del asunto a través de una solicitud de confirmación escrita o a través de una simple llamada telefónica. En todo caso, una solicitud de confirmación a la gerencia es la mejor solución. Si todavía hay duda sobre la veracidad de la solicitud de pago, existe siempre la posibilidad de contactar a la policía. Solo así es posible evitar consecuencias negativas.
Cuales son las consecuencias de un Fraude CEO?
Las consecuencias económicas que puede causar un Fraude CEO dependen del tamaño de la suma transferida y del tamaño de la empresa, en casos extremos estas pueden implicar una situación de insolvencia para la empresa.
Los implicados –por lo general, empleados- cuentan por lo general con consecuencias drásticas y de tipo legal. Estas pueden ir desde un llamado de atención hasta el despido. En este caso el empleador está en la capacidad de alegar un despido justo. Por lo general, el empleado lamentablemente no tiene ninguna herramienta para defenderse.
Tan pronto como el Fraude CEO haya sido realizado exitosamente, la empresa y los empleados quedan desamparados y en algunos casos sin poder estimar las posibles repercusiones del ataque. Por esta razón, las empresas –independientemente de su tamaño- deben tomar medidas preventivas para evitar de forma efectiva este tipo de ataques.
Comentarios recientes