Estafa del CEO: una modalidad de spear phishing

En el mundo de las estafas informáticas, emergen modalidades cada vez más sofisticadas, como la "estafa del CEO". Este tipo de fraude, vinculado al spear phishing, pone en riesgo tanto a personas como a empresas al explotar la confianza y las jerarquías internas. En este artículo analizaremos en profundidad esta modalidad de phishing, cómo protegerse y qué pasos tomar en caso de ser víctima.

¿Qué son las estafas informáticas?

Las estafas son actos engañosos diseñados para defraudar a personas o empresas, generalmente con fines económicos. En el ámbito digital, estas estafas se valen de técnicas como la suplantación de identidad, el uso de sitios web falsos y comunicaciones fraudulentas para extraer información sensible o dinero.

El phishing es una de las técnicas más comunes, y su variante más personalizada, el spear phishing, ha dado lugar a modalidades específicas como la "estafa del CEO".

¿Qué es el phishing y el spear phishing?

El phishing utiliza correos electrónicos fraudulentos o sitios web falsos para engañar a las víctimas y obtener datos confidenciales. En cambio, el spear phishing personaliza los ataques para dirigirse a objetivos específicos, lo que aumenta considerablemente su efectividad.

Una de las formas más preocupantes de spear phishing es la "estafa del CEO", donde los delincuentes explotan las jerarquías empresariales para realizar transferencias no autorizadas de grandes sumas de dinero.

¿Cómo funciona la estafa del CEO?

La estafa del CEO se basa en la suplantación de identidad de altos ejecutivos de una empresa. Los estafadores investigan detalladamente la estructura interna de la organización, identifican empleados con acceso a cuentas o datos sensibles y envían correos electrónicos persuasivos desde direcciones que imitan las de los ejecutivos reales.

Las comunicaciones suelen:

• Incluir un tono de urgencia: frases como "transferencia inmediata" o "confidencialidad absoluta" buscan evitar verificaciones.
• Utilizar información legítima: detalles reales sobre la empresa y su operativa para generar confianza.
• Presionar psicológicamente: apelando al respeto por la autoridad o al miedo a incumplir órdenes directas.

Ejemplo:
Un empleado del departamento financiero recibe un correo del "CEO" solicitando una transferencia urgente para cerrar un "acuerdo confidencial". El correo parece legítimo y utiliza el tono y estilo de comunicación habitual del directivo. Sin embargo, la cuenta de destino pertenece a los estafadores.

¿Qué hacer si eres víctima de la estafa del CEO?

Si tu empresa ha sido víctima de esta estafa, es crucial actuar rápidamente para minimizar las pérdidas y aumentar las probabilidades de recuperar el dinero.

1. Notifica inmediatamente a tu banco: informa sobre la operación no autorizada para intentar bloquear la transferencia o rastrear los fondos.
2. Presenta una denuncia: acude a la Policía Nacional o la Guardia Civil. Esto ayudará a identificar a los responsables y a evitar futuras estafas.
3. Recopila pruebas: reúne todos los correos, capturas de pantalla y comunicaciones relacionadas con el fraude.
4. Consulta a un abogado especializado en phishing: un profesional puede guiarte en las acciones legales contra los estafadores y las entidades involucradas.

¿Puedo reclamar el dinero perdido en la estafa del CEO?

A menudo surge la pregunta de si las empresas pueden reclamar el dinero perdido por estafas como esta. La respuesta es afirmativa, y la legislación española ofrece herramientas efectivas para estos casos.

Según el artículo 45 del Real Decreto-ley 19/2018, de servicios de pago, los bancos son responsables de garantizar un entorno seguro para las transacciones. Este artículo establece que las entidades financieras deben devolver los fondos en caso de operaciones no autorizadas, salvo que puedan demostrar que el cliente actuó con negligencia grave.

La Sentencia de la Audiencia Provincial de Barcelona, Sección 15ª, de 14 de marzo de 2023, reafirma esta obligación, destacando que los bancos deben adoptar medidas proactivas para prevenir fraudes, como sistemas avanzados de verificación de identidad.

Consejos para protegerse de la estafa del CEO

Como empleado:

1. Verifica siempre las solicitudes inusuales: antes de realizar cualquier transferencia, confirma con el supuesto remitente utilizando un canal alternativo.
2. Sigue los protocolos de la empresa: no actúes fuera de las políticas establecidas para transacciones financieras.
3. Mantente alerta: participa en programas de capacitación sobre ciberseguridad para reconocer tácticas de spear phishing.

Como empresa:

1. Implementa políticas claras: define procesos estrictos para autorizar transferencias de dinero.
2. Utiliza tecnologías avanzadas: como autenticación multifactor y sistemas de detección de correos fraudulentos.
3. Capacita a tu equipo: proporciona formación regular sobre seguridad informática y simulacros de phishing.

Conclusión

La estafa del CEO es una modalidad especialmente peligrosa de spear phishing que puede causar graves pérdidas económicas a las empresas. Protegerse requiere una combinación de concienciación, medidas tecnológicas y protocolos claros tanto a nivel individual como organizacional.

Si tu empresa ha sido víctima de esta estafa, recuerda que puedes reclamar el dinero perdido con el respaldo de la Ley de Servicios de Pago. Contar con abogados especialistas en phishing puede ser determinante para recuperar tus fondos y reforzar la seguridad de tu negocio.

Contacta con nosotros para una evaluación gratuita de tu caso. Estamos aquí para ayudarte.