Un simple correo electrónico puede acarrear pérdidas graves. Cada vez más entidades reciben intentos de suplantación de identidad por parte de ciberdelincuentes que utilizan una técnica conocida como «fraude del CEO», también llamada Business Email Compromise (BEC).
Se trata de una estafa en la que se hacen pasar por cargos directivos de la organización y, con mensajes urgentes y convincentes, consiguen que alguien haga una transferencia, compre tarjetas regalo o facilite información delicada.
Si necesitas asesoramiento o acompañamiento en temas informáticos, puedes contactar con nuestro equipo de servicio informático y te asesorará.
Se trata de una estafa en la que se hacen pasar por cargos directivos de la organización y, con mensajes urgentes y convincentes, consiguen que alguien haga una transferencia, compre tarjetas regalo o facilite información delicada.
¿En qué consiste?
El mecanismo es sencillo pero muy efectivo. La persona responsable de finanzas o de gestión recibe un correo electrónico que aparenta provenir de la presidencia, gerencia o dirección general de la entidad.
El mensaje pide con urgencia y confidencialidad hacer un pago o una compra y solicita que no se hable con nadie más. Si no se detecta a tiempo, se pueden llegar a perder cantidades muy elevadas, a menudo difíciles de recuperar. Este tipo de ataque juega con tres factores clave: la urgencia, la confianza y el miedo de desobedecer a un superior.
¿Por qué pasa?
Los ciberdelincuentes acostumbran a investigar previamente la entidad a través de su web, redes sociales o perfiles profesionales para conseguir información sobre quién ocupa determinados cargos.
También aprovechan momentos en que la dirección no es fácilmente localizable, como viajes, reuniones o periodos de vacaciones. Los mensajes suelen incluir presión temporal con frases como «lo necesito antes de las 14 h» o «es confidencial», que generan prisa y evitan que la persona afectada pueda consultar con alguien otro.
Además, con el avance de la inteligencia artificial, ya se han detectado casos de deepfakes en los que se falsifica la voz o la imagen de los directivos en videollamadas o mensajes de audio.
¿Cómo nos podemos proteger?
La mejor manera de prevenir este tipo de fraude es establecer protocolos internos claros. Ante cualquier petición de pago urgente, es recomendable confirmarla por un canal alternativo y seguro, como una llamada telefónica o un mensaje interno. También es útil implantar el doble control en las transferencias, de manera que dos personas tengan que autorizar los movimientos de un cierto importe. Otra medida importante es verificar siempre los cambios de cuentas bancarias de proveedores antes de hacer ninguna transacción y reducir la cantidad de información pública sobre los cargos y procesos internos de la entidad. La formación del equipo es clave para que todo el mundo pueda identificar un intento de densificación y actuar con precaución.
¿Qué hacer si nos pasa?
En caso de sospecha o si ya se ha efectuado un pago fraudulento, es fundamental actuar de manera inmediata. Hay que contactar con el banco para intentar detener la operación y denunciar el caso a la policía. También se puede llamar al 017, la línea gratuita y confidencial del INCIBE, donde se puede recibir apoyo especializado en ciberseguridad.
El fraude del CEO es una amenaza real que crece en toda Europa y que afecta especialmente a las entidades pequeñas y medianas, más vulnerables ante este tipo de estafas. Prevenirlo pasa por establecer procedimientos internos, reducir la sobreexposición de información y fomentar la cultura de la seguridad digital en las organizaciones.