¿Alguna vez has recibido una llamada de una persona que, en tono serio e impaciente, te dice: Pásame con tu jefe/a?
En el 90% de los casos pasamos esa llamada porque parecía importante.
En momentos de presión y de estrés, las personas confundimos urgencia con importancia. Los ciberdelincuentes lo saben y lo utilizan. El teletrabajo ha traído la proliferación de un ciberataque que utiliza la urgencia para diseñar un fraude al que está expuesto cualquier empresa que tenga dinero en una cuenta del banco o información de valor. Es decir, todas.
Es el fraude del CEO. No te esperes nada sofisticado. No necesitas tener conocimientos de informática para entenderlo. Tampoco esperes que haya un equipo de hackers rusos detrás, ni al profesor de La casa de papel dando órdenes a un equipo de delincuentes.
Es algo así:
Hola,
Ayer cerramos la adquisición de la nueva empresa. Hoy firmamos el contrato. Tengo reunión con el consejo en 45 minutos y necesitamos hacer una transferencia de 378.500 € a este número de cuenta: ESXX XXXX XXXX XXX XXXX.
Hay que hacerlo ya.
Sergio Marquina
CEO
Antes de que pienses “Eso en mi empresa es imposible”, “nosotros no tenemos tanto dinero en la cuenta”, “solo tienen acceso dos personas de la organización”, déjame que te diga que si este email llega a la persona “adecuada” en la organización en un momento de estrés de trabajo, el riesgo se multiplica. Y puede ocurrir suplantando la identidad de CEO, de un proveedor o de cualquier otra persona que tenga relación con la empresa.
A la farmacéutica Zendal le estafaron hace un año 9 millones de euros utilizando esta técnica, haciéndose pasar por sus auditores. Este tipo de ataques han costado ya más de 10.000 millones de euros en todo el mundo, y seguirá aumentando.
¿Cómo podemos prevenirlo?
Lo primero que nos dice el INCIBE (Instituto Nacional de Ciberseguridad) es que enseñemos a los empleados de la organización a detectar las pistas que nos dan los ciberdelincuentres. Aquí las pistas y qué hacer con ellas:
- Atención aI emaiI deI remitente. Esto: “I”, es una “i” mayúscuIa; y esto: “l” es una “eIe” minúscuIa. Parecen lo mismo, pero no Io son. De hecho, este párrafo Io he escrito con “i” mayúsculas en eI lugar de las “l” minúsculas y no Io parece. Este tipo de trucos con pequeñas erratas que pasan inadvertidas son habituales en los remitentes falsos. Si tienes dudas, puedes comprobarlo en Whois.
- Archivos adjuntos en el email. Habilitar en el email la opción para poder ver la extensión de los archivos adjuntos (.docx, .ppt, .pdf, .exe, etc). Si dudamos, lo mejor es comprobarlo a través de la web Virustotal.
- Links en el email. Los enlaces son otro punto débil. Cuidado con las URL acortadas, ya que ofrecen poca información de a dónde te redirigen. Con unshorten.me puedes volver a extenderla sin necesidad de abrir el enlace. En caso de duda, Virustotal también analiza URLs.
Además, es altamente recomendable que la organización implemente las bases de un entorno seguro como implantar procedimientos seguros para realizar pagos con doble verificación, mantener actualizados tanto el sistema operativo como las aplicaciones de los dispositivos de trabajo, instalar aplicaciones antimalware o desactivar la vista HTML de las cuentas de correo más sensibles de la organización.
Riesgos reputacionales
Estas son las precauciones técnicas que recomiendan los expertos en ciberseguridad; pero hay otras prevenciones, que afectan a la reputación del directivo y la compañía, a las que no se hace mención en ese listado, y que tienen que ver con el diseño de escenarios y protocolos de comunicación con los grupos de interés afectados. Porque, además del dinero defraudado (solo en el 4% de los casos se recupera), está en juego la confianza de empleados, clientes y proveedores en la propia compañía.
Si te interesa saber más sobre ciberriesgos reputacionales, te invitamos a descargar: “Ciberriesgos y reputación: pautas para anticiparse.
