¿Que es el Pishing? Consejos para prevenir ciberataques
Guía de Ciberseguridad en el teletrabajo del INCIBE
El Fraude del CEO, la estafa de moda
Las empresas tienen una nueva amenaza. Los hackers se cuelan en sus sistemas, analizan minuciosamente a sus directivos y suplantan la identidad del máximo ejecutivo de la compañía. Incluso son capaces de copiar su tono de voz. Es el denominado Fraude del CEO.
A la farmacéutica gallega Zendal le acaban de estafar 9 millones de euros con el denominado Fraude del CEO, un tipo de delito que se ha puesto de moda con el auge del teletrabajo y que se basa en la suplantación de identidad (phising) para realizar transacciones financieras engañosas.
España ya es el tercer país del mundo -sólo por detrás de Brasil y Australia- con mayor proporción de ataques de phising. Y en los últimos meses se ha detectado un crecimiento espectacular del Fraude del CEO. Once ciberdelincuentes fueron detenidos recientemente en la costa levantina por haber estafado 2,5 millones a empresas de toda Europa a través de este método, y hace unos meses otros hackers consiguieron robar 4 millones a la EMT de Valencia.
La estafa sufrida por Zendal es quizás el caso más paradigmático de Fraude del CEO tanto por su sofisticación como por la cantidad sustraida. Al parecer, los ciberdelincuentes eligieron esta compañía porque en las instalaciones de Zendal en O Porriño (Pontevedra) se opera ahora a un ritmo frenético, ya que realiza desarrollos biotecnológicos para elaborar vacunas contra el Covid-19 por encargo de la americana Novavax.
Esta situación de estrés laboral explicaría que el responsable financiero de Zendal realizara, entre el 19 y el 23 de noviembre, nada menos que veinte transferencias a una cuenta bancaria por 9 millones creyendo que lo hacía por orden de su jefe. Los atacantes suplantaron la identidad del CEO de la empresa creando una cuenta de correo corporativo desde la que ordenaron al jefe financiero que realizase las transferencias con total discreción.
Para sofisticar aún más el engaño, los hackers se hicieron pasar también por auditores de KPMG para girar por vía telemática las órdenes de pago y las correspondientes facturas falsas. El pobre responsable financiero confió ciegamente en las órdenes recibidas y atendió todos los requerimientos de pago que le iban llegando desde la cuenta de correo falsa de KPMG creada por los ciberdelincuentes.
Hasta que Zendal se quedó sin liquidez, y fue entonces cuando el ejecutivo financiero decidió hablar personalmente con su jefe, quien negó haber ordenado ningún tipo de pago. Pero cuando se descubrió el engaño ya era tarde, y el dinero había sido transferido a la cuenta de la banda criminal que diseñó la operación.
El Fraude del CEO ha costado ya 10.000 millones a las empresas, aunque la cifra puede ser aún mayor ya que muchas compañías no reconocen haber caído en el timo porque este tipo de estafas, aparte de los daños económicos, expone gravemente la reputación de una organización. Qué pensarán los clientes si se enteran de que la empresa a la que confían su información no es capaz de mantenerla a buen recaudo.
El phising (suplantación de identidad), en el que se basa el Fraude del CEO, es una táctica habitual usada por los ciberdelincuentes para lucrarse ilícitamente. Estos ataques aparecen a través de correos electrónicos, mensajería instantánea, chats y redes sociales. Cuando los hackers obtienen los datos personales y financieros de la víctima, atacan sus cuentas bancarias y tarjetas de crédito, realizando transferencias financieras fraudulentas y compras online.
El Fraude del CEO es un phising avanzado, basado en el estudio minucioso de una compañía, de su día a día y de los directivos intermedios con responsabilidad y con acceso a la caja. Para perpetrarlo, los atacantes utilizan las últimas tecnologías. En la estafa de Zendal crearon cuentas de correo falsas -tanto del CEO de la compañía como de los auditores de KPMG-, pero se han dado casos en Estados Unidos donde han llegado a la imitación perfecta del tono de voz, e incluso del acento, del ejecutivo que se quiere suplantar, vía software avanzado.
Los ciberdelincuentes tienen muchas formas de acceder a los sistemas internos de una empresa. Un investigador de Harvard lo comprobó fácilmente. De los 50 profesionales a los que llamó afirmando ser del equipo de Seguridad Informática de la empresa y solicitando sus claves para instalar una actualización informática, 48 cayeron en el engaño.
En ocasiones, los peores hackers para una compañía son los propios empleados. Publican en redes sociales aspectos de sus responsabilidades laborales y se descargan aplicaciones gratis en el móvil que permiten a terceros acceder a la agenda y conocer los lugares a los que viajan. Hay entidades como JPMorgan que prohíben a sus empleados usar sus direcciones de email laboral para registrarse en webs de compras o en redes sociales como Facebook o LinkedIn.
Para evitar ataques como el Fraude del CEO las compañías deben establecer protocolos y controles financieros además de contar con un adecuado servicio de ciberseguridad, pero también es necesario concienciar a los empleados, a través de campañas de sensibilización, para que sean conscientes de que hay miles de cibercriminales que están listos para atacarles.
Y si tenemos alguna duda de sus artimañas, recordemos uno de los ataques más famosos de la historia. El protagonista es Ahmad Hosseini, un simple empleado de mantenimiento en la central nuclear de Natanz en Irán. Un buen día llegó, aparcó su coche en el párking y cuando iba a coger el ascensor para subir a su puesto de trabajo se encontró un pendrive en una repisa. El empleado lo cogió y lo guardó en el cajón de su escritorio. Días después necesitaba llevarse a casa un informe para revisarlo, metió en el puerto USB de su ordenador el pendrive encontrado por casualidad y se desató tal catástrofe en las redes de la central que provocó un retraso en el programa nuclear iraní.
El bueno de Hosseini infectó, por supuesto sin querer, el sistema informático con un virus llamado Stuxnet, destinado específicamente a sabotear las centrifugadoras nucleares de Irán. Stuxnet se convirtió así en el arma cibernética más sofisticada de la historia. Se sospecha que detrás de ese virus estaban EEUU e Israel.
Tomemos nota para vencer a los hackers.
Fuente: Diario Expansión