A fondo. Fraude al CEO: ingeniería social al servicio del cibercrimen

AutenticaciónCiberguerraEmpresasGestión de la seguridadSeguridad

¿Qué es el fraude al CEO? ¿Cómo se lleva a cabo? ¿A qué riesgos se exponen las empresas víctimas de este tipo de ataques? Los expertos del sector arrojan luz sobre estas cuestiones.

Afortunadamente, el fraude al CEO no es una práctica muy difundida en nuestro país. Sin embargo, este tipo de ciberataques está creciendo en los últimos meses. “Como ocurre con casi cualquier ciberdelito, y por las solicitudes que se reciben en el CERTSI de Instituto Nacional de Ciberseguridad (INCIBE), lamentablemente los casos que se procesan demuestran un número creciente de este tipo de fraude. Con respecto al primer semestre de 2016, los fraudes a través de internet han crecido casi un 43%”, explica Marco A. Lozano, experto en ciberseguridad del INCIBE.

También hay que tener en cuenta que los casos que trascienden públicamente son muy pocos. “En  ocasiones, estas situaciones no se llegan ni siquiera a denunciar para  no afectar a la imagen empresarial”, comenta José María Blanco, director del Centro de Análisis y Prospectiva de la Guardia Civil.

El fraude al CEO se basa en la ingeniería social, “una serie de técnicas que utilizan los cibercriminales para manipular a sus víctimas con el fin de obtener información confidencial”, apunta Alfonso Ramírez, director general de Kaspersky Lab Iberia. Eusebio Nieva, director técnico de Check Point para España y Portugal, remarca que “el principio que sustenta la ingeniería social es que los usuarios son el eslabón más débil en cualquier sistema. Los ciberdelincuentes lo utilizan para obtener información, acceso o privilegios en sistemas de información que les permitan realizar algún acto que perjudique o exponga a la persona u organismo comprometido a riesgo o abusos. Por ejemplo, las claves de su email o credenciales bancarias de la empresa”. Blanco anota que “está muy relacionada con lo que se denomina ‘elicitación’, figura sobre la que  han  alertado a la población incluso actores del sistema de seguridad de Estados Unidos . Por ejemplo, el FBI ha señalado las principales técnicas empleadas”.

¿Cómo se hace?

Nieva explica que “el fraude mediante ingeniería social se basa en engañar al CEO, mediante algún medio de comunicación -teléfono, correo electrónico, sms, etc.- para que revele información sensible”. Asimismo, el director del Centro de Análisis y Prospectiva de la Guardia Civil comenta que “las principales formas de ataque son los sitios webs comprometidos, la  simulación de correos electrónicos, la información obtenida por  teléfono con técnicas de elicitación, el phising o  el hacking”.

El arranque suele ser muy similar a los conocidos ataques de phising, pero realizados de una forma mucho más profesional.  “El ataque comienza con el envío de un correo electrónico de phishing, muy elaborado, que parece llegar del directivo de la empresa y en el que se solicita a un empleado realizar una transferencia o movimiento bancario a una cuenta controlada por los ciberdelincuentes”, indica el director general de Kaspersky Lab Iberia. También podría tratarse de una “simulación de correo electrónico de un proveedor, mediante el que los criminales pueden modificar datos de facturación  para desviar pagos a sus propias cuentas”, comenta Blanco. Y Ramírez recuerda que “las víctimas también pueden ser empresas que creen recibir un correo electrónico de su cliente. De esta forma, tanto los empleados de la compañía en la que la identidad del CEO ha sido suplantada como la compañía cliente que realiza la transacción son víctimas de este nuevo fraude”,

El responsable del INCIBE señala que “este tipo de engaños se conoce como whaling –‘pesca de ballenas’-, por tratarse de phishing dirigido a ‘peces gordos’”. Además, insiste en un detalle importante. “Si el empleado abre el correo a través de un dispositivo móvil, no podrá comprobar a simple vista que la dirección del correo de origen no es correcta, salvo que haga clic sobre el nombre del remitente. Esto hace que sea más difícil de detectar. Si no se da cuenta del engaño, podría desvelar datos confidenciales”.

Lozano especifica que “los defraudadores aprovechan ocasiones en las que el jefe está ausente o no está accesible -en una reunión, un viaje, etc.-, para perpetrar este tipo de suplantaciones, con el fin de que la víctima no tenga la oportunidad de verificar su autenticidad”. Así, advierte que “la información para determinar cuándo no está el jefe se suele obtener de redes sociales principalmente, aunque también a través de medios de comunicación”. Además, comenta que “en casos más sofisticados, pueden haber espiado previamente los correos electrónicos mediante un malware para imitar el estilo de escritura del jefe. También pueden robar previamente las credenciales de acceso del jefe a su cuenta de correo para enviar el email desde esta misma cuenta”.

¿Quiénes son las víctimas?

El responsable de Kaspersky Lab señala que “aunque en principio los altos cargos de las empresas son los principales objetivos de este tipo de fraudes por disponer de información sensible, los empleados también suelen ser víctimas perfectas. Acostumbran a ser el eslabón más débil de la cadena y pueden ser engañados fácilmente con técnicas de phishing o ataques dirigidos para llegar, de manera sigilosa y sin levantar sospechas, a un alto directivo o a información confidencial. Pero no sólo ellos pueden ser las víctimas, también las empresas proveedoras o clientes de una organización pueden ser objeto de ingeniería social. También se están utilizando técnicas de phishing para robar planes y proyectos operativos de empresas industriales”

De igual modo, el director técnico de Check Point puntualiza que si bien los cargos directivos tienen mayor acceso a datos confidenciales, “cualquiera de los trabajadores con acceso a dicha información serían objetivos directos de estos ataques”. Además, hace hincapié en que “este tipo de ataques se dan sobre todo en grandes compañías, ya que son quienes más datos importantes tienen. Sin embargo, también se ha dado el caso de ciberdelincuentes que usan ingeniería social sobre sus proveedores, que pueden ser pymes, como paso intermedio”.

¿Qué riesgos corre la empresa?

Blanco explica que las víctimas de un ataque de fraude al CEO se exponen a “pérdida de información clave, afectación a patentes o posibles licitaciones, fraude económico –por ejemplo, desvío de pagos-, afectación a la marca y reputación de la empresa o procesos de extorsión en base a la información robada, tanto personal a empleados como institucional”.

Lozano reseña que “el principal riesgo es la pérdida económica mediante una transacción fraudulenta”, ya que “en estos casos la suma de dinero transferida suele ser especialmente alta”. Además, indica que “otro de los riesgos a los que se exponen es la exfiltración de información confidencial de alto nivel, a la que sólo tienen acceso los directivos, poniendo en peligro los proyectos importantes de la empresa”.

Igualmente, Ramírez indica que “además de ser víctimas del robo de grandes cantidades de dinero, también pueden serlo por el robo de datos confidenciales y sensibles. Esta información, ya sea un proyecto, plan o credenciales, puede venderse en el mercado negro o hacerse pública, algo que puede afectar muy negativamente a la reputación e imagen corporativa de la organización”. En este mismo sentido, Nieva incide en el robo de información confidencial de la propia empresa y de proveedores, clientes o empleados. “Estos datos pueden venderse en el mercado negro o, si son especialmente sensibles, hacerlos públicos, lo cual podría acabar con ventajas competitivas de la organización, su imagen comercial u otros daños de reputación”. Además, remarca que “la nueva normativa sancionará con multas millonarias a las empresas que no protejan sus sistemas correctamente”.

Leer la biografía del autor  Ocultar la biografía del autor