Estafa del CEO (también llamada whaling), cuando el hacker se hace pasar por insospechado
Hacer una transferencia de casi un millón de euros rápidamente y sin pensarlo mucho y darte cuenta unos minutos después de que te han estafado y has perdido, en un abrir y cerrar de ojos, mucho dinero y otro tanto de credibilidad y prestigio.
Y decir que no le ocurrió a un tecnófilo despistado, sino a un alto directivo de un gigante internacional de la producción televisiva.
Jaime Ondarza, italo-boliviano, 55 años, desde hace unos meses Ceo para el Sur de Europa de Fremantle, productora de programas de éxito como«Factor X«,«Italia’s Got Talent«,«Un Posto al Sole«.
El 19 de marzo, un mensaje de WhatsApp con las credenciales del director general de la sede de la empresa bastó para convencerle de que realizara, sin pensárselo mucho, una transferencia de 937.670 euros con efecto inmediato para la adquisición de una empresa en Asia.
Así que, tras responder afirmativamente a esta petición, que, para una empresa como Fremantle, ni siquiera era tan extraña, llegó otra comunicación a su cuenta de correo electrónico de la empresa, también falsa, aparentemente dirigida a un abogado que conocía.
Un perfil falso, probablemente robado de la red de contactos del gestor, que le proporcionó la cuenta bancaria en la que hacer el ingreso.
Y así se disparó la transferencia, para regocijo de los delincuentes que seguramente lo celebraron quién sabe en qué parte del globo.
De hecho, el dinero llegó a una cuenta corriente de un banco asiático y posteriormente se distribuyó a decenas de otros ibanes repartidos por Extremo Oriente, pero también en otros lugares del mundo.
Sólo al cabo de unas horas empezó el gestor a sospechar que había algo extraño en la transacción que acababa de concluir.
En ese momento tardó poco en darse cuenta de que había sido estafado y de que, a pesar de la alarma inmediata al 112 en plena noche y de la denuncia a la policía postal a la mañana siguiente, el dinero estaba ya irremediablemente perdido.
Ondarza fue supuestamente víctima de un truco que aprovechaba los fallos de un sistema informático mal protegido. De hecho, según el Corriere della Sera, fue «perforado inicialmente por spoofing, es decir, por un mensaje enviado desde un perfil clonado con un número de VoIP para la transmisión de datos que él pensaba que era el de su superior directo y que, en cambio, variaba poco del original».
La estafa del CEO o la caza de ballenas
La que afectó al director se denomina comúnmente«estafa del director general» o, en un lenguaje más técnico, Compromiso del correo electrónico empresarial.
Estos ataques tienen un objetivo concreto: los «niveles C», es decir, los empleados y directivos de una empresa con capacidad para mover dinero, especialmente para hacer transferencias por Internet. Es a ellos, de hecho, a quienes se envía un correo electrónico, aparentemente de un alto cargo de la empresa, con la petición de hacer una transferencia urgente a una cuenta bancaria que, sólo se descubrirá más tarde, pertenece a una organización delictiva.
Además, con la continua evolución de la tecnología y también de la delincuencia, las variantes de la Estafa Ceo son ahora muchas: desde el mensaje que llega por WhatsApp hasta la llamada telefónica, ya que los ciberdelincuentes son ahora capaces de reproducir la voz de cualquier persona, engañando así fácilmente al destinatario de la comunicación.
Luego están las diversas operaciones de Spoofing, es decir, unaamplia gama de ataques en los que un hacker oculta su identidad haciéndose pasar por una fuente de confianza para acceder a información confidencial, saltándose las normas de autenticación basadas en direcciones IP y nombres de host.
Esto se suma a las sofisticadas técnicas de ingeniería social mediante las cuales los delincuentes obtienen información sobre las víctimas potenciales, necesaria para optimizar las actividades maliciosas.
De hecho, el éxito de este tipo de estafa requiere, además de la cuenta de correo electrónico falsa, el conocimiento detallado de la identidad de los gestores con los que se va a contactar, el tono y la redacción de la eventual orden de compra y la jerga de comunicación utilizada, el conocimiento de las compras que se van a realizar, los contactos sociales de la víctima, sus hábitos y cualquier otra cosa que pueda ser útil para que el engaño sea lo más realista posible.
Los riesgos derivados de este tipo de ataques se traducen en importantes pérdidas de datos, violaciones de los sistemas de seguridad informática y, sobre todo, considerables perjuicios económicos, como demuestra el último caso.
Pocas estructuras han escapado a ella hasta ahora. De hecho, este tipo de estafa ha afectado a cerca del 70% de las empresas y organizaciones de todo el mundo en todos los sectores, públicos y privados.
Llegados a este punto, surge la pregunta: ¿cómo defenderse de esta estafa?
En primer lugar, teniendo en cuenta que, en los tiempos que corren, es mejor no fiarse de nadie, aunque sea nuestro jefe o el más leal de los proveedores que nos escriba;
Compruébalo siempre llamando a la persona en cuestión y asegúrate de la autenticidad de la solicitud;
verifica siempre la dirección de correo electrónico del remitente.
Además, nos recuerda la importancia de estar siempre «al tanto» de la concienciación sobre ciberseguridad:
no pierdas nunca la concentración y la conciencia de lo que haces y no actúes nunca con prisas y distracciones;
activa siempre todas las comprobaciones necesarias antes de iniciar acciones que podrían tener muy rápidamente consecuencias irreversibles;
no dejar nunca de practicar una formación de calidad, tanto teórica como práctica.
Los ciberdelincuentes se cuelan astutamente por las grietas de la distracción y la inconsciencia. Esas grietas, con igual astucia, deben mantenerse herméticamente cerradas.