La estafa del CEO: así es el timo millonario del que se avergüenzan las empresas
El fraude por el que criminales suplantan la identidad del consejero delegado y de despachos de abogados es cada vez más común, con cientos de casos en España en los últimos años
"Me monto en un avión ahora y no podré hablar hasta dentro de seis horas. Me gustaría que la transferencia quedase hecha en un par de horas". Imagine que un día recibe un 'e-mail' del presidente de su empresa en el que le pide que transfiera una cantidad millonaria a una cuenta bancaria en el extranjero. Se trata de un asunto de máxima confidencialidad que no puede comentar con nadie y que tiene que hacer lo más rápido posible. ¿Qué haría?
Si accede, es muy posible que sea una nueva víctima de la bautizada como estafa del CEO, un fraude que según el FBI ya ha costado más de 2.000 millones de dólares (1.800 millones de euros) a las empresas de todo el mundo. Este ciberdelito, que tiene un 'modus operandi' muy reconocible, parte de una comunicación ('e-mail' o llamada) de alguien que se hace pasar por el CEO de la empresa o bien por un profesional de una conocida firma de servicios profesionales o un despacho de abogados. En todos los casos, la víctima es requerida para efecutar una transferencia con muchos ceros a una cuenta en el extranjero.
Tal y como señalan varios abogados que prefieren mantenerse en el anonimato, este fraude es un viejo conocido que de forma intermitente se asoma a las grandes y medianas empresas en España. Un experto en ciberseguridad asegura haber tenido consultas de unos 200 casos desde 2016 en España, y aunque solo en ocho hubo fuga de dinero, el agujero es millonario y muy beneficioso para las organizaciones criminales que protagonizan estos fraudes.
Tanto las consultoras como los despachos son cada vez más activos para prevenir estas situaciones y ya hay seguros para cubrir los posibles agujeros
Las cifras que se manejan van desde los tres a los 12 millones de euros, y son muy pocos los casos que trascienden: ninguna empresa quiere revelar un 'roto' así ni ningún directivo (que suele ser despedido) quiere admitir que le han tomado el pelo. "Los casos se suelen ocultar por vergüenza, evitando sentencias judiciales para que no se conozcan", aseguran estas fuentes. Una vez que el dinero sale de las cuentas, seguirle el rastro es casi imposible. Expertos consultados que están en constante contacto con las unidades de cibercrimen de la Policía y la Guardia Civil aseguran que ellos no tienen opciones, ya que son redes internacionales que operan desde distintos puntos del planeta, con múltiples servidores con los que simulan 'e-mails' de la empresa o de firmas de servicios profesionales y despachos con los que trabajan.
Los intentos cada vez son más refinados. Combinan llamadas y correos electrónicos que imitan a algún ejecutivo de alto nivel, con comunicaciones "breves, concisas y muy ejecutivas, como hablaría un presidente o consejero delegado", sostienen profesionales que conocen las operativas. También se apoyan en envíos ficticios desde consultoras o bufetes que saben que trabajan con la empresa a la que se intenta estafar, y se usa alguna operación en la que esté inmersa, ya sea una adquisición o importación de productos. Cualquier operativa que pueda justificar un pago. La persona elegida siempre es una que tiene capacidad para hacer transferencias en nombre de la compañía.
En resumen, "hay una gran ingenería social para investigar que efectivamente el ejecutivo al que se suplanta —porque no siempre es CEO o presidente— está fuera del país, se elige a una persona con capacidad de hacer transferencias, y se alude a su ego, ya que se muestra confianza en ella", explica un profesional. La disyuntiva para el trabajador escogido por los criminales es dudar por el riesgo de estafa y comprobarlo internamente, jugándose en ese caso saltarse la confidencialidad que le pide el supuesto superior.
Una estafa en auge
"Hemos recibido consultas sobre este tema", explica Román Gil, socio de Sagardoy Abogados, una de las principales firmas laboralistas de España. Hace tres años, el despacho llevó el caso del director general de una empresa del sector financiero que recibió la llamada de una persona que se hizo pasar por su presidente. La voz era la misma y le comentó que estaba haciendo una auditoría interna y que había que derivar unas cantidades fuera de España de manera temporal.
El directivo, que no sospechó nada, contaba con los permisos necesarios para hacer los movimientos y efectuó la citada transferencia de varios millones de euros. "La estafa estaba muy bien diseñada", señala Gil. "Se aprovecharon de una operación existente de la compañía para perpetrar la estafa. Los 'e-mails' tenían sentido y se mencionaban detalles precisos". Como suele ocurrir, los estafadores se aseguran de que el fraude esté revestido de gran credibilidad para asegurarse de que las víctimas pican el anzuelo. En este caso, el directivo fue despedido, si bien más tarde alcanzó un acuerdo extrajudicial con la empresa para evitar el juicio.
Tanto las consultoras como los despachos de abogados cada vez son más activos en trabajar para prevenir estas situaciones, incluso ya hay seguros que cubren los potenciales agujeros. "Las medidas de prevención incluyen la concienciación directa de empleados mediante el 'e-learning' o acciones formativas, pero también indirecta, mediante simulaciones continuas de 'spear phishing' (estafa de correo electrónico)", arguye Alejandro Rivas-Vásquez.
Los casos que trascienden son muy pocos: ninguna empresa quiere revelar un 'roto' así ni ningún directivo quiere admitir que le han tomado el pelo
"La segregación de funciones en sistemas y aplicaciones es una medida muy efectiva, ya que requiere que más de una persona apruebe —por ejemplo— el cambio de una cuenta bancaria de un proveedor", añade el experto. La formación es clave. Pero también establecer sistemas de control internos, "establecer la doble firma para operaciones importantes y sistemas de alertas, sobre todo en las entidades de crédito", sostiene Enrique Ceca, socio y responsable del departamento laboral del despacho Ceca Magán.
La doble firma es algo en lo que coinciden todos los expertos, "de manera que esté implicada más de una persona, es decir, que exijan doble verificación mediante una llamada telefónica al director para asegurarse de la veracidad del mensaje", explica el Instituto Nacional de Ciberseguridad (Incibe) en un artículo, que también hace énfasis en la "concienciación de los empleados".
La Asociación Española de Banca (AEB) se sumó recientemente a las advertencias, con consejos para prevenir, como no compartir información sobre jerarquía, seguridad o porcedimientos de la empresa, alertar al departamento de Informática de cualquier 'e-mail' sospechoso, no saltarse por presión ningún paso al ejecutar pagos o limitar la información publicada. A las empresas, aconseja protocolos internos de pagos o modernizar los servicios de seguridad.
¿Quién tiene la culpa?
Ceca pone el acento en que los bancos son corresponsables si ejecutan transferencias sin control de quién las ordena y hacia dónde. El abogado recuerda un caso en el que una directiva se extralimitó al hacer una transferencia con la estafa del CEO, ya que era necesaria una firma mancomunada y, pese a ello, el banco ejecutó la orden. La persona fue despedida y recurrió, ganando el caso porque se consideró que era tan víctima como la empresa y se enfocó la culpabilidad en la entidad fianciera. No obstante, otros expertos advierten de que a los bancos no se les puede achacar culpa si se cumplen los requisitos necesarios para hacer una transferencia, aunque este no era el caso por la falta de una firma.
Otro ejemplo de intento de estafa del que ha tenido conocimiento este medio ocurrió con una solicitud de transferencia de 500.000 euros aprovechando la compra de una inmobiliaria. Los estafadores se hicieron pasar por ejecutivos y aseguraron que era necesario un pago para continuar con la operación. En este caso, se dirigieron a un empleado que era quien debía preparar los documentos para que, posteriormente, un directivo los firmara y los enviara de vuelta. El mismo trabajador era el encargado de enviarlos al banco. Sin embargo, los criminales simularon ser este directivo, enviaron el 'e-mail' y recibieron el documento en la misma dirección de correo electrónico, falsificaron la firma, reenviaron la orden al empleado, y este la remitió al banco. La empresa achacó negligencia a este trabajador para su despido, pero sus abogados consiguieron demostrar que no tenía encomendadas funciones de comprobación de la orden, y que era responsabilidad del banco.
Habitualmente, las empresas suelen llegar a soluciones extrajudiciales para evitar que se conozcan estos casos. Aun así, hay dos sentencias a las que ha tenido acceso El Confidencial sobre despidos a raíz de la estafa del CEO que fueron recurridos. En una de ellas, la directora financiera de Isft Sanidad SA, con sueldo de 197 euros diarios y antigüedad de ocho años, fue despedida por "no haber seguido el protocolo empresarial y poder notariales posibilitando una transferencia de 201.375 euros", explica la sentencia del Tribunal Superior de Justicia de Andalucía (TSJA). La ejecutiva recibió la llamada de, presuntamente, el presidente de la multinacional, que ordenó una transferencia. El tesorero estaba de vacaciones, con lo que la directora financiera remitió la orden a un 'controller'. El ficticio presidente también había enviado un 'e-mail', aunque su dirección acababa en '.co' en vez de '.com'. La transferencia se realizó, pero con un número mal por error, razón por la que se pudo recuperar el dinero. Aun así, se consideró que la ejecutiva se extralimitó y protagonizó un "abuso de confianza". En este caso, el fallo desestimó el recurso de la exempleada.
La otra tuvo el final contrario. Los criminales suplantaron en esta ocasión la identidad del director corporativo de negocios del Grupo Ilunion y de un profesional de una de las Big Four, enviando sendos 'e-mails' a una trabajadora del área de Tesorería. El correo hacía referencia a una operación confidencial, por la que era necesaria una transferencia a un cuenta bancaria —situada en China—. Además, aseguraba la necesidad de mantener la discreción "tal y como nos impone el procedimiento establecido por la CNMV". Junto a los correos electrónicos había cartas simuladas de confidencialidad y de pleno poder, que la trabajadora usó para realizar transferencias a través de BBVA.
La empleada tenía reuniones a diario con un superior del departamento de Tesorería al que no le comunicó las transferencias. BBVA ejecutó varias hasta que detectó que las firmas eran incorrectas. La entidad llamó a la trabajadora que enviaba las órdenes pero ese día estaba ausente, por lo que se conoció el fraude en la empresa. Fue despedida pero lo recurrió y se consideró "improcedente". La empleada recurrió pidiendo una indemnización, algo que el Tribunal Superior de Justicia de Madrid (TSJM) desestimó confirmando la sentencia anterior. En cualquier caso, la jurisprudencia se ha mostrado comprensiva con los trabajadores que han transferido dinero siendo estafados, al considerarlos víctimas. Es decir, deja en el aire quién es culpable de la negligencia.
"Me monto en un avión ahora y no podré hablar hasta dentro de seis horas. Me gustaría que la transferencia quedase hecha en un par de horas". Imagine que un día recibe un 'e-mail' del presidente de su empresa en el que le pide que transfiera una cantidad millonaria a una cuenta bancaria en el extranjero. Se trata de un asunto de máxima confidencialidad que no puede comentar con nadie y que tiene que hacer lo más rápido posible. ¿Qué haría?