Qué es el "fraude del CEO" con el que los hackers han robado US$26.000 millones de empresas desde 2016.

Qué es el "fraude del CEO" con el que los hackers han robado US$26.000 millones de empresas desde 2016.

 109003389 6a661798f

El email llegó como cualquier otro, del presidente ejecutivo de la compañía para su director de finanzas.

Oye, el trato está hecho. Por favor transfiere US$8 millones a esta cuenta para finalizar la adquisición lo antes posible. Hay que hacerlo antes de que termine el día. Gracias.

El empleado no pensó que hubiera algo fuera de lo común con el mensaje y envió los fondos, cumpliendo una tarea más de su lista de pendientes antes de irse a casa.

Pero las alarmas comenzaron a sonar cuando la compañía que estaba siendo adquirida llamó para preguntar por qué no habían recibido el dinero.

Comenzaron a investigar. Definitivamente se habían transferido US$8 millones, pero ¿a dónde? Nunca lo sabremos.

Cómo saber cuándo un estafador se está haciendo pasar por tu banco
¿Qué debes hacer si alguien te suplanta la identidad en internet?

Parte del dinero pudo ser recuperado por los bancos, pero la mayoría fue robada por hackers que quizás liquidaron sus ganancias usando una elaborada red de lavado de dinero, o simplemente siguieron adelante para atacar a su próxima víctima.

Mientras tanto, el director de finanzas se quedó sintiendo terrible y la compañía tratando de entender lo que había ocurrido.

Después de todo, el email aparentemente había llegado de la dirección del jefe y su cuenta no había sido hackeada.

Entonces los expertos en ciberseguridad se encargaron de dar las malas noticias a la empresa: no se puede confiar en los emails.

Fraude del CEO

Este es un ejemplo de la vida real de un ciberataque conocido como fraude del CEO o email corporativo comprometido o BEC, las siglas en inglés de Business Email Compromise.

Los ataques relativamente poco sofisticados y dependen más de la ingeniería social y del engaño que del hackeo tradicional.

Los cibercriminales simplemente imitan la dirección del correo electrónico de un ejecutivo de una empresa y envían un pedido convincente a un empleado incauto.

El mensaje parece como si proviniera del jefe, pero fue enviado por un impostor.

 109003391 472bdedbf2
A menudo hay una cierta urgencia en el mensaje y empleado simplemente hace lo que le dicen, quizás enviando grandes sumas de dinero a criminales por error.

Estas estafas están en aumento y según el FBI en Estados Unidos, han resultado en pérdidas mundiales de al menos US$26.000 millones desde 2016.

A principios de este mes, fueron arrestados 281 supuestos hackers en 10 países diferentes como parte de una operación masiva contra redes cibercriminales globales vinculadas a las estafas.

Ryan Kalember, vicepresidente ejecutivo de estrategia de ciberseguridad de Proofpoint, una empresa de seguridad cibernética basada en California, dice: "El email corporativo comprometido es el problema más costoso en toda la seguridad cibernética. No hay ninguna otra forma de crimen cibernético con el mismo grado de alcance en términos de pérdidas monetarias".

Proofpoint fue comisionada para manejar el incidente de fraude del CEO que describimos en este artículo.

Kalember y su equipo han visto cómo han evolucionado las tácticas durante el último año y tienen observaciones y advertencias interesantes para las víctimas potenciales.

 109003385 18d00291 1154 4614 bfee 15e90f1b51a7

Blancos no ejecutivos

Los blancos tradicionales de un ataque BEC son los personajes de nivel ejecutivo de las grandes compañías, como los presidentes ejecutivos o directores de finanzas.

Pero recientemente los criminales se han dirigido a niveles de menor jerarquía.

"La gente más atacada que vemos ahora raramente son VIP (personas muy importantes). Las víctimas tienden a tener emails fácilmente localizables o direcciones compartidas que pueden adivinarse con facilidad".

"Los VIP, como regla, tienden a estar menos expuestos ya que ahora las organizaciones están por lo general haciendo un buen trabajo para proteger las direcciones de correo electrónico de sus VIP", agrega Kalember.

La tendencia también ha sido notada por la compañía de seguridad cibernética Cofense.

En algunos casos, los emails de empleados son imitados y el atacante pide al departamento de recursos humanos que envíe el salario de una víctima hacia una nueva cuenta bancaria.

Cuidado con los lunes

Otro método que se ve con más regularidad son los emails de estafa que son enviados los lunes en la mañana.

Según Proofpoint, más del 30% de los emails BEC llegan los lunes ya que los hackers tratan de capitalizar los trabajos pendientes del fin de semana.

Lo que esperan es que con este retraso se pueda engañar con más facilidad a los empleados con emails falsos y otros trucos de ingeniería social.

"Los atacantes saben cómo funcionan las personas y las oficinas. Dependen de que la gente cometa errores y tienen mucha experiencia con lo que funciona. No se trata de una vulnerabilidad técnica, se trata de error humano", dice Kalember.

 97144546 mediaitem97144545

Reenvíos falsos
Las conversaciones de correo electrónico falsas son parte de otra técnica que ha evolucionado.

Los atacantes comienzan la línea del asunto de sus emails con "Re:" o "Fwd:", para que su mensaje parezca parte de un conversación previa.

En algunos casos, incluso incluyen un historial falso del email para establecer su aparente legitimidad.

Según investigadores, los intentos fraudulentos que usan esta técnica se han incrementado en más de 50% año tras año.

Kalemeber asegura que todas estas tendencias siguen un patrón predecible basado en nuestra propia conducta.

"Una de las razones por las que este problema es particularmente difícil de erradicar es que éste depende del riesgo sistemático de que todos nosotros confiamos en los emails como medio de comunicación", afirma.

Desafortunadamente para las empresas y los empleados es poco probable que los BEC desaparezcan.

Las estafas con emails son técnicamente muy simples, y los servicios en internet que se usan gratuitamente ofrecen pocas barreras para entrar.

Pero hay muchas cosas que las compañías y los empleados pueden hacer, como ser cautelosos y estar conscientes de los ataques.

Las compañías pueden insistir la llamada verificación de dos factores antes de enviar un pago.

Todo esto, por supuesto, depende de que la gente de un paso atrás frente a lo que a menudo se pide en los lugares de trabajo: velocidad y eficiencia.

Fuente: Joe Tidy. Reportero de ciberseguridad, BBC | Lunes 30 septiembre 2019 Qué es el "fraude del CEO" con el que los hackers han robado US$26.000 millones de empresas desde 2016.

Nuestros Servicios

proteccion de datos personales

Datos Personales

Asegure el cumplimiento normativo para el tratamiento de datos personales en sus procesos de negocio.

Leer más

seguridad de informacion

Seguridad de la Información

Gestione de forma segura los activos de información en su organización y mejore la gestión de los riesgos.

Leer más

derecho empresarial

Derecho Empresarial

Desarrolle los mecanismos jurídicos apropiados para su organización frente al modelo y los procesos de negocio.

Leer más

seguridad y salud en el trabajo

Seguridad y Salud en el Trabajo

Asesoramos en el Diseño, administración y ejecución del Sistema SST bajo el ciclo de mejora continua (PHVA).

Leer más

formacion y capacitacion

Formación y Capacitación

IW contribuye a la formación y generación de cultura en estos campos, con un equipo experto para cada área.

Leer más

logo improving ways footer

Contáctenos

Teléfonos: (+571) 937 10 59 

Carrera 13A #38-39 - Oficina 201

Bogotá - Colombia

logo facebook    logo twitter    logo skype    logo linkedin