Se disparan las estafas a empresas españolas con los 'emails' del 'fraude al CEO'

Banca, infraestructura, seguros... no hay prácticamente gran empresa española que en los últimos meses no haya sufrido un intento de lo que se conoce como 'fraude al CEO'. Consultoras y organizaciones de ciberseguridad avisan de un importante repunte de este delito, que consiste en mandar 'emails' falsos, creados a la medida de los altos directivos de una compañía, donde se les engaña para que realicen transferencias de cientos de miles de euros.

Lo que se describe a continuación es el caso real de lo que sucedió recientemente en una empresa española, según han confirmado varias fuentes consultadas: los criminales investigaron durante semanas a los directivos, así como a la empresa. Todas las vías de información públicas sobre la firma estaban controladas: blogs, Twitter, Facebook... Usaron LinkedIn para saber con qué otras compañías y directivos hacían negocios. Y en el apartado "Quiénes somos" de la web corporativa les fue fácil ver el árbol jerárquico de cargos, nombres y direcciones de correo.

Cuando los criminales se sintieron seguros, mandaron un email al consejero delegado (CEO), con un archivo adjunto que simulaba ser el fichero de nóminas. El email tenía una peculiaridad: no se mandaba desde el dominio auténtico de la empresa (CEO@laempresa.es), sino desde CEO@1aempresa.es. La letra "l" se había convertido en el número "1", pero no era fácil distinguirlo, sobre todo porque lo mandaron a una hora en que sabían que el CEO lo recibiría en el teléfono móvil.

"Si lo ves en el ordenador, te chirría, pero muchos altos directivos lo ven a través del móvil, donde sólo te sale el nombre y no te das cuenta de que la dirección no es correcta. Eso está produciendo que este tipo de ataques tengan más éxito", explica a Teknautas Jorge Chimea, experto del Instituto Nacional de Ciberseguridad (INCIBE). El CEO no vio el cambio y no desconfió, pinchó en el fichero de nóminas adjunto y dió entrada a un código malicioso en su teléfono. A partir de aquí, los criminales pudieron espiar todo lo que pasaba por su móvil, especialmente mensajería y correo.

Unas semanas más tarde, los defraudadores ya se habían empapado de con quién solía hablar el directivo, cuál era la jerga de la empresa, con qué compañías operaban, en qué contratos se estaba trabajando en aquel momento y, muy importante, los procedimientos para ordenar transferencias y quién las realizaba. Ya sólo bastó esperar a que el CEO hiciese un viaje que requería un par de horas de avión.

Muchos altos directivos ven el correo a través del móvil, donde sólo te sale el nombre y no ven que la dirección no es correcta

Media hora antes de que saliese el avión, el contable encargado de las transferencias recibió un email del CEO (recordemos que su cuenta había sido 'hackeada' y los criminales podían mandar emails en su nombre). El supuesto CEO le ordenaba pagar 600.000 euros a una cuenta bancaria, advirtiéndole: "Dale total prioridad". Al estar el CEO en un avión, el contable no pudo contactar con él para confirmar la orden. Y la ejecutó.

Cada vez hay más empresas españolas, grandes y también pymes, que han sufrido intentos de "fraude al CEO" y cada vez más con éxito. No existen estadísticas oficiales al respecto, pues este fraude se diluye estadísticamente con el resto de fraudes informáticos, pero las principales consultoras de seguridad y el INCIBE comparten la percepción de un importante aumento. "Desde principios de 2017 está creciendo mucho, al menos que se nos haya informado, pues muchas veces ni se enteran", explica Jorge Chimea.

De 30.000 euros hasta los dos millones

Dentro del "fraude al CEO" hay variantes: a veces, la cuenta de correo asaltada no es la del CEO sino la del contable y las transferencias se ordenan directamente desde la misma. Puede que tampoco se robe el dinero de golpe sino por partes: un día se ordena una transferencia de 30.000, otro día de 600.000 y quizás el contable ya sospeche cuando se le pida que transfiera un millón.

En otras ocasiones, los criminales no necesitan espiar el correo del directivo para saber cuándo no estará en la ciudad: basta con ver que su nombre aparece en la agenda pública de un acto. Muchas veces no se entra en los ordenadores de la empresa, simplemente se mandan 'emails' para ver si pican, aprovechándose de la buena fe e ignorancia respecto a esta estafa. Lo que es común es dar prisas, poner nervioso al contable para que no tenga tiempo de pensar en lo que hace.

En otro reciente ataque a un bufete de abogados español, donde se habían ordenado varias transferencias fraudulentas, el banco se avino a anularlas, pero otras veces no se llega a tiempo, sobre todo si el fraude se descubre meses después, lo que puede suceder cuando no llevamos un registro exhaustivo de los movimientos bancarios.

"La 'estafa al CEO' está teniendo una gran incidencia debido a su gran efectividad, bajo riesgo para los criminales y los grandes beneficios obtenidos", aseguran fuentes consultadas de la Policía Nacional. En mayo del año pasado, este cuerpo desarticuló a una importante banda que había realizado estafas que iban de los 20.000 a casi los dos millones de euros, siendo la mayoría de 600.000 euros.

En total, 43 personas fueron detenidas en Madrid y Toledo y una en Reino Unido. Entre ellos había bastantes empresarios españoles que blanqueaban el dinero, y algunos cabecillas nigerianos. 'Hackeaban' las cuentas de correo de directivos de empresas y, cuando habían entrado en una, se hacían pasar por el directivo para engañar a otros empleados o clientes, simulando compartir un documento en la nube, por ejemplo en Google Drive, donde había que introducir nombre y contraseña para acceder. Así conseguían más credenciales para seguir con las estafas.

Una de sus tácticas consistía en buscar indicios de transacciones que estuviesen en proceso de realizarse en las cuentas de correo comprometidas. Entonces, explican fuentes de la Policía, "intervenían en el último momento, mediante el envío de un correo en el que suplantaban la identidad de la cuenta monitorizada, para modificar la cuenta bancaria destinataria de la contraprestación económica del negocio, alegando problemas con la entidad original".

El negocio de los cibercriminales eran tan boyante como para que los agentes les interviniesen 200.000 euros en efectivo, 12.820 dólares en metálico, 10.000 libras y 500.000 euros bloqueados en tres bancos, procedentes de los últimos golpes, más 12 vehículos y el material de 'trabajo': 35 ordenadores, 80 móviles y 20 tabletas.

¿Cómo evitar el 'fraude al CEO'?

La formación de los empleados y directivos es el arma más importante para combatir este delito, afirma Jorge Chimea. Recientemente, el INCIBE publicaba una alerta de nivel 4 (Alta) relativa al 'fraude al CEO', donde se muestran emails extraídos de casos reales. Según el INCIBE, además de la formación debe haber una correcta seguridad informática en la empresa e implantar procedimientos seguros para realizar pagos, que exijan doble verificación mediante una llamada al director.

Desde la consultora Deloitte, el experto en ciberinteligencia Samuel de Tomás recomienda, además de la tan necesaria concienciación, "informar siempre al departamento de seguridad si se sospecha de algo, como correos o transferencias raras; también incorporar controles a la hora de mover el dinero y revisar de forma constante las transferencias para evitar anomalías, porque puede que te estafen y no te des cuenta".