Cómo reconocer y prevenir el fraude del CEO en 2022

Laptop with 2 hands reaching out holding a contract that's being signed
¡Haz clic aquí para ver un resumen de este artículo!
Cómo reconocer y prevenir los fraudes del CEO - Una guía rápida

El fraude del CEO es una forma de business email compromise (BEC). Esta estafa consiste en que los estafadores envían correos electrónicos fraudulentos a empleados. En sus correos, los estafadores del CEO suelen pedir una transferencia de dinero urgente.

Debido a la urgencia expresada en los correos electrónicos, su «realidad» y el poder (percibido) del remitente dentro de la organización, los empleados que reciben estos correos suelen actuar en consecuencia.

Inspecciona los correos electrónicos con solicitudes de naturaleza económica (transferencias, cambios en la información de pagos, etc.) muy cuidadosamente. Toma especial atención a los siguientes elementos:

  • El remitente: A menudo, los estafadores del CEO usan direcciones de correo electrónico que son muy similares a las direcciones reales de un CEO o gestor, pero contienen pequeñas variaciones.
  • Enlaces y adjuntos: Solamente haz clic en enlaces y abre adjuntos en los que confíes completamente y si también confías con el remitente. Las estafas BEC suelen incluir enlaces y adjuntos con malware en sus correos en un intento de robar tus datos o los de tu empresa.
  • Urgencia: Normalmente, los estafadores del CEO expresarán urgencia en sus correos. Pueden pedirte que hagas una gran transferencia el mismo día y decirte que es urgente. También suelen decir que están muy ocupados («Estoy en una reunión muy larga») como para hablar de la petición en más detalle.
  • Discreción: Los estafadores del CEO suelen hacer creer a sus víctimas que lo que van a hacer es «alto secreto«. Por ejemplo, pueden decir que necesitan el dinero para una falsa fusión y que se supone que es un secreto hasta que haya finalizado. Hacen esto para evitar que los empleados hablen de la solicitud fraudulenta con colegas o supervisores.

¿Quieres saber más sobre los fraudes del CEO, incluyendo consejos sobre cómo prevenirlos y qué hacer si eres una víctima? ¡Lee el artículo al completo a continuación!

Los estafadores tienen como objetivos a ciudadanos inconscientes de los peligros en línea casi desde los inicios de Internet. Es muy probable que este fenómeno no se vaya a ninguna parte. Sin embargo, muchos estafadores eligen a sus víctimas con más y más cuidado, actualmente, e intentan también cazar algún «pez gordo» estafando a (grandes) empresas. A esto se le conoce como Fraude del CEO.

¿Pero qué es exactamente el fraude del CEO? ¿Cómo funciona? ¿Cómo puedes prevenir el fraude del CEO como empleado o empresa? ¿Qué debes hacer si has sido víctima? ¿Hay ejemplos de grandes empresas cayendo víctimas del fraude del CEO? Los casos de fraude del CEO no harán más que aumentar en 2022. Aquí encontrarás lo que necesitas saber sobre ello.

¿Qué es el fraude del CEO?

What is a CEO fraud iconEl fraude del CEO es, generalmente, una forma sofisticada de estafar grandes empresas y organizaciones. El objetivo es engañar a los empleados para que transfieran fondos a los estafadores. Para ello, el estafador se hace pasar por el CEO, fundador o un empleado importante de la empresa.

La diferencia percibida en la jerarquía dentro de una organización puede hacer que los «empleados de bajo nivel» se sientan bastante intimidados a hacer lo que ellos creen que su «CEO» quiere que hagan. A menudo, los delincuentes contactarán con un empleado por correo electrónico, pidiendo una transferencia urgente. El correo puede parecerse al de ejemplo que hay a continuación.

Fake email showing example of CEO fraud

Los empleados autorizados para hacer pagos o firmar documentos deben estar muy informados de los peligros del fraude del CEO. Sin embargo, todos los empleados dentro de una organización pueden, en teoría, ser objetivos. De hecho, según la empresa de ciberseguridad Barracuda, el 77 % de estos ataques apuntan a empleados fuera de las funciones financieras o ejecutivas.

Business Email Compromise (BEC)

Email with hacking icon, compromised

El fraude del CEO es una forma de Business Email Compromise. Este tipo de estafas dependen de la manipulación del comportamiento de la gente usando el engaño (ingeniería social) enviando un correo electrónico que dice que proviene de alguien de dentro de la empresa o de alguien relacionado, como un proveedor.

Este tipo de fraude puede y suele depender de técnicas y estrategias muy hábiles. Los delincuentes pueden, a veces, hackear la cuenta legítima de correo electrónico del CEO (o la cuenta de un encargado, por ejemplo). A continuación, monitorizan y analizan cómo el CEO o el encargado se comunican. Ahora ya pueden engañar a otros dentro de la organización usando una dirección de correo electrónico y la forma de dirigirse a ellos que les es familiar.

El fraude del CEO se está volviendo más y más habitual

CEO phishing icon, two hooks with email iconSegún Barracuda, una organización media experimenta 700 ataques de correos de ingeniería social al año. Como explicamos antes, los atacantes no siempre se hacen pasar por el CEO, pero a veces por otros ejecutivos. A pesar de por quien elijan hacerse pasar, el daño suele ser devastador: según el FBI, estas estafas pueden costar miles de millones.

Es bastante probable que los números reales sean incluso más altos. Después de todo, no se informan todos los intentos. Lo mismo es probablemente cierto para muchos casos donde el daño económico es relativamente bajo.

Además, el incremento del teletrabajo por la pandemia ha aumentado la dependencia en las comunicaciones. De ahí que haya una alta probabilidad de que los casos de fraude del CEO se incrementen.


¿Cómo funciona el fraude del CEO?

Hay dos estrategias principales que los estafadores del CEO usan para estafar a las empresas. El primero es enviando un correo electrónico desde un dominio (la parte que viene detrás de la arroba «@») que es virtualmente idéntico al nombre de dominio real de la empresa o contiene muy pocas y pequeñas variaciones.

Infographic showing main strategies used in CEO fraud

A esta se le llama suplantación de dominio. Puede hacerse de formas excepcionalmente hábiles. Por ejemplo, hay una gran empresa que opera por toda Europa y vende productos electrónicos llamada MediaMarkt. ¿Puedes ver la diferencia entre «[email protected]» y «[email protected]»? Este ejemplo muestra cómo de similares pueden hacer parecer a dominios distintos.

La segunda estrategia del fraude del CEO es, sin duda, incluso más peligrosa: en realidad hackean una cuenta de correo electrónico corporativa de un empleado de la empresa, o incluso peor, de un ejecutivo para enviar correos estafa creíbles y llegar a empleados autorizados a hacer pagos fraudulentos.

Hay distintas maneras de que ocurran estos hackeos. Uno muy habitual es el spear fishing: un calculado ataque de phishing que tiene como objetivo a un empleado en concreto. Los estafadores engañarán al empleado enviándole un correo electrónico dirigido a él o ella correctamente y conteniendo una historia creíble. Se les da pie a hacer clic en un enlace o adjunto que contiene malware peligroso. Este malware en realidad permite a los delincuentes hackear las cuentas de la víctima, como su correo electrónico.

Fake email mockup showing example of CEO confirm receipt fraud

El adjunto incluido en el correo electrónico fraudulento de arriba en realidad contiene malware. Una vez se hace clic en el fichero, se descargará un ejecutable para robar los datos.


Reconocer el fraude del CEO

Reconocer el fraude del CEO es esencial para evitar pérdidas significativas. Los delincuentes suelen crear correos convincentes que dificultan detectar un fraude del CEO. Sin embargo, hay algunas señales de advertencia que los delatan.

Estrategias de Business Email Compromise usadas frecuentemente

Antes que los estafadores ataquen a un empleado, hacen su investigación. Una vez conocen a la persona y cuáles son sus responsabilidades y qué está autorizado a hacer y que no, se aproximan a él con una solicitud que se «ajuste» a él.

Por ejemplo, un gestor de cuentas es muy probable que no pueda transferir millones sin autorización. Sin embargo, los estafadores pueden decirle que compre unas cuantas tarjetas regalo para «socios de la empresa» o que se declare como gastos de entretenimiento. Tal vez puedan conseguir que el gestor cambie alguna información de pagos, proporcionando a los delincuentes una forma fácil de drenar una empresa.

Dependiendo de su objetivo, los estafadores del CEO generalmente intentan conseguir que sus víctimas hagan alguna de las siguientes cosas:

  • Transferir dinero para una (obviamente falsa) fusión, para pagar a los accionistas o por algún tipo de proyecto
  • Comprar tarjetas regalo, diciendo que son para socios o colegas
  • Cambiar información de pagos debido a un problema inventado o un cambio experimentado por un beneficiario
  • Conseguir que paguen facturas falsas que han sido cuidadosamente creadas basándose en los proyectos actuales de la empresa o facturas anteriores

Señales de alarma en el correo electrónico

Además de las estrategias usadas para el fraude del CEO, suele haber otras señales de alarma dentro de un correo de spear phishing del CEO. Por eso, recomendamos prestar atención a los siguientes elementos de los correos electrónicos que recibes:

  • El remitente: Los estafadores CEO suelen intentar engañar a los destinatarios enviando sus correos electrónicos desde un dominio (la parte después de la «@») que es muy similar al dominio real de la empresa. Inspecciona la dirección exacta de la que proviene ese correo antes de realizar cualquier otra acción. La mayoría de proveedores de correo electrónico, como Gmail, te permiten ver la dirección de correo haciendo clic en el nombre del remitente.
  • Enlaces: Sé cuidadoso con cualquier enlace en el correo electrónico. Después de todo, muchos spear phishers usan enlaces maliciosos para diseminar malware o robar los datos de inicio de sesión. Sé especialmente cuidadoso cuando veas enlaces acortados (como los enlaces bit.ly). Puedes comprobar la destinación de un enlace simplemente pasando por encima de él. Recomendamos encarecidamente comprobar si un enlace es seguro pasándolo por una herramienta hecha justamente para esto: como Norton Safe Web.
  • Adjuntos: Al igual que los enlaces, los adjuntos también suelen usarse para extender malware y robar información. Por eso, abre solo adjuntos cuando los estés esperando y de fuentes en las que confíes.

Señales de alarma en el texto del correo electrónico

Los textos y mensajes de los correos electrónicos del fraude del CEO suelen compartir características comunes, como las que enumeramos a continuación:

  • Autoridad: Los correos electrónicos dependen de mostrar una (falsa) autoridad, urgiendo a alguien a hacer algo (en lugar de pedirlo) parecido a como lo haría un supervisor. En otras palabras, los delincuentes abusarán de la posición dentro de la jerarquía de la empresa de la persona que están imitando.
  • Discreción: Los estafadores remarcan que no se debe hablar de su petición con colegas o gestores. Dirán que es que una supuesta sorpresa o secreto. Pueden decir, por ejemplo, que necesitan que compres algunas tarjetas regalo como sorpresa para algunos colegas o socios.
  • Urgencia: Sea cual sea la petición, el estafador remarcará que se debe hacer rápidamente. Después de todo, darle al empleado poco tiempo para pensar con claridad es una parte importante del funcionamiento de la estafa. También remarcarán que la tarea que se le da al empleado es muy importante. Este piensa que va a tener una función importante en la ejecución de la estrategia de la empresa.
  • Halagar a la víctima: Aunque la presión es un elemento importante en estas estafas, también lo es alabar a la víctima y hacer que se crean especiales. Los delincuentes les contarán que son los únicos a los que les «puede confiar esta tarea».
  • Certeza («todo está ok»): Por norma general, los delincuentes aparecerán con una excusa para no estar disponibles para hablar sobre el encargo con más detalles. «El CEO» puede decir que se encuentra en una reunión importante. Para asegurar a la víctima que todo está bien, puede aparecer con un método de verificación falso. Por ejemplo, podría darle al empleado el número de teléfono de un bufete de abogados falso. Ya que estos trabajan conjuntamente con los estafadores, obviamente le asegurarán al empleado de que todo es correcto.

Prevenir el fraude del CEO

Ahora que conoces ejemplos del fraude del CEO y las señales de alarma, el siguiente paso es aprender a prevenirlo. Hay distintos métodos para protegerte de estas estafas, pero lo más importante de lejos es aumentar la concienciación dentro de tu organización sobre estas estafas.

A continuación daremos algunos consejos específicos tanto para empleados y empresas sobre cómo prevenir el fraude del CEO.

Consejos para empleados

Como empleado de una (gran) empresa, es muy probable que recibas múltiples correos de phishing del CEO durante tu carrera. Por eso, a continuación hemos enumerado algunos consejos para prevenir el fraude del CEO.

  • Siempre comprueba el remitente. Haz clic en el nombre del remitente para ver su dirección de correo completa. Busca cualquier anomalía.
  • Si el remitente menciona una cuenta bancaria en el correo electrónico o en una factura, comprueba siempre si el número de cuenta está entre las que actualmente son conocidas por el departamento financiero.
  • Continúa aprendiendo sobre las últimas estafas y spear phishing del CEO.
  • Habla sobre los correos sospechosos con un colega o superior, incluso si el correo dice que no lo hagas. Si te permiten conocer un secreto empresarial, lo más probable es que te hagan firmar un acuerdo de confidencialidad.
  • Idealmente, habla con el remitente del correo sospechoso o con quien estén haciéndose pasar (por teléfono o reunión privada). Puede parecer intimidante el contactar con tu CEO o gestor, pero continúa siendo la mejor forma de prevenir el fraude del CEO.

Consejos para empresas

Como empresa, es casi imposible protegerse completamente contra los fraudes del CEO y otros ataques de ingeniería social. Después de todo, la seguridad de una empresa es, por norma general, tan fuerte como el eslabón más débil (empleados). Por eso, formar a tus empleados para reconocer el fraude del CEO es crucial. Además de esto, asegúrate de seguir los consejos que encontrarás a continuación.

  • Establece protocolos y reglas claras para las transferencias de grandes cantidades de dinero. También debería haber un sistema de doble verificación para grandes transferencias.
  • Crea y ejecuta reglas y guías claras para cambiar la información de los pagos. Lo ideal es contactar directamente con el socio, proveedor o parte relacionada de la que se ha cambiado la información de pago para verificarlo.
  • Haz una verificación en dos pasos obligatoria para cada cuenta de correo electrónico de los empleados. Así, incluso cuando los delincuentes obtengan su información de inicio de sesión, no podrán acceder a sus cuentas.
  • Organiza una auditoria de seguridad de tu propia empresa. Puedes hacerlo tú mismo enviando a tus empleados un correo de phishing sin avisar en un momento inesperado. A continuación, es importante proporcionar una formación adicional a los empleados que han caído en la estafa. De forma alternativa, podrías buscar los servicios de una empresa especializada en este tipo de auditorias, como Cofense. Ofrecen auditorias de seguridad y formación antiphishing.
  • Asegúrate de que tu empresa invierte lo suficiente en ciberseguridad. Tal vez puedas considerar comprar algunas herramientas de software especializadas en prevenir el phishing y el fraude del CEO, como las que ofrece Cofense.

Qué hacer si eres una víctima del fraude del CEO

Los estafadores del CEO son excepcionalmente habilidosos en la forma en que engañan a sus víctimas. Así pues, es altamente probable que en algún momento uno de tus empleados se convierta en una víctima del fraude del CEO. Si has sido una víctima del fraude del CEO, esto es lo que tienes que hacer.

Infographic showing what to do if you are a CEO fraud victim

  1. Reunir todas las pruebas que tengas e informar del delito a la policía. Además, informa sobre los daños estimados. Si estás en Europa, puedes ir a esta web de la Europol. Aquí puedes hacer clic en el país que vives para saber a qué organización debes contactar y cómo. Si eres de los EE. UU., informa del delito al Internet Crime Complaint Center del FBI.
  2. Contacta con el banco de la empresa tan pronto como sea posible (la persona asignada a contactar con el banco o el CEO sería lo ideal). A veces, si se contacta con el banco muy rápidamente después de una transacción fraudulenta, ellos aún pueden anularla. En cualquier caso, debes notificar al banco para que los mismos delincuentes no puedan ejecutar nuevos ataques a tu cuenta bancaria.
  3. Notifica al departamento de informática de tu empresa de cualquier ataque o correos electrónicos de phishing. Envíales los correos relacionados para ayudarlos a prepararse para futuros ataques. De esta forma podrán ajustar la seguridad. O por lo menos podrán discutir sobre cuáles deberían ser los siguientes pasos con su supervisor.
  4. Notifica también a cualquier tercera parte que pueda enfrentarse a riesgos después de que tus sistemas se hayan visto comprometidos, como a los proveedores y otras empresas cuyos datos (sensibles) tuvieras guardados.
  5. Los estafadores del CEO pueden haber creado una brecha en tus sistemas. Pueden haber usado malware en un correo de spear fishing para hackear el PC de un empleado y, consecuentemente, obtener acceso a otros PC en tu red. Por eso es crucial que tu departamento informático compruebe concienzudamente tus sistemas en busca de malware después de cualquier ataque. Si no pueden hacerlo, deberás buscar los servicios de un profesional.

Casos famosos de fraude del CEO / Business Email Compromise

Finalmente, hablaremos sobre algunos grandes fraudes del CEO o estafas BEC para darte un conocimiento sobre cómo estas estafas empiezan y se desarrollan. Las estafas BEC suelen tener por objetivo empresas de miles de millones de dólares y, a veces ¡incluso a gobiernos!

Estafa Business Email Compromise a Toyota

Empezamos con una de las mayores estafas BEC jamás realizadas. El 14 de agosto de 2019, los estafadores convencieron a un empleado del departamento de finanzas y contabilidad de la subsidiaria europea de Toyota (Toyota Boshoku Europe N.V.) para transferir unos ¡enormes 37 millones de dólares (unos 4.000 millones de yenes) a otra cuenta!

Los detalles exactos del caso son desconocidos. Sin embargo, algunas fuentes especulan que los estafadores hicieron que el empleado entrara en pánico para pagar. Supuestamente, lo hicieron diciendo que la producción de Toyota se ralentizaría significativamente si el pago no se hacía rápidamente. Crear esta sensación de urgencia es un engaño común en los fraudes del CEO y el phishing.

El gigante del cine Pathé crea un nuevo género con «fraude del CEO doble»: ciberdrama

El siguiente caso sirve muy bien para demostrar que incluso las enormes multinacionales pueden caer víctimas del fraude del CEO. Y en este caso es un «fraude del CEO doble«. Alguien se hizo pasar por el CEO de la empresa matriz francesa para engañar al CEO de su subsidiaria neerlandesa. Le dijo que necesitaba una suma considerable para la adquisición de un competidor en Dubai.

El CEO neerlandés sospechó correctamente y habló sobre el tema con el CFO (director financiero). Después de explicar a los delincuentes que necesitaba una verificación adicional, los estafadores la proporcionaron, o mejor dicho, enviaron otro correo electrónico falso, pero muy ingeniosamente escrito desde una cuenta distinta que el CEO neerlandés se creyó. Los daños totales de todos los pagos fraudulentos llegaron a la cantidad de alrededor de 22 millones de dólares. Esto ocurrió en 2018.

El gobierno de Puerto Rico, víctima de phishing

La siguiente estafa demuestra que no solo las organizaciones o empresas pueden caer presas del fraude del CEO y de las estafas spear fishing. Lo mismo le puede ocurrir a instituciones gubernamentales.

El 17 de enero de 2020, la Compañía de Fomento Industrial de Puerto Rico perdió alrededor de 2,6 millones de dólares en una estafa de phishing. Les contactó alguien, presumiblemente haciéndose pasar por un socio o beneficiario. Los delincuentes les pidieron cambiar la cuenta bancaria ligada a los pagos de giro. Un oficial del gobierno puertorriqueño obedeció, causando la devastadora pérdida financiera.

Los estafadores son cada día más creativos

Estos ejemplos deben demostrarte que los estafadores se están volviendo más y más creativos cada día. El fraude del CEO es un problema serio, especialmente para pequeños negocios que simplemente no pueden permitirse este tipo de pérdidas. Hay otros tipos de fraudes que se están volviendo populares, como el fraude del servicio de asistencia técnica o las estafas por WhatsApp. Es importante estar al día de lo que está ocurriendo, para así mantenerte a salvo.

Fraude del CEO - Preguntas frecuentes

¿Tienes preguntas concretas sobre el fraude del CEO? Echa un ojo a nuestras preguntas frecuentes a continuación. Haz simplemente clic en una pregunta para ver la respuesta. ¿No está tu pregunta? Déjanos un comentario con tu pregunta y la responderemos lo antes posible.

El fraude del CEO es un tipo de phishing donde la víctima, un empleado, es engañado para que transfiera (grandes) fondos al estafador. Esto se hace enviando un correo electrónico en el que el estafador se hace pasar por el CEO o un gestor de alto nivel de una empresa. En su correo, pedirán una transferencia directa, un cambio de la información de pagos o usarán otros trucos para robar dinero. El fraude del CEO en una forma de Business Email Compromise (BEC) e ingeniería social.

Business Email Compromise (BEC) es un término paraguas que incluye la manipulación de empleados, o figuras importantes en una empresa, para que hagan lo que los estafadores quieren que hagan, enviándoles un correo engañoso en el cual se hacen pasar por otra persona. Como tal, el fraude del CEO es un tipo de Business Email Compromise. Sin embargo, los BEC también afectan a casos donde los estafadores se hacen pasar por un beneficiario de una empresa y dice que su cuenta bancaria ha cambiado, o como si fuera un proveedor, por ejemplo.

Prevenir el fraude del CEO no es sencillo, ya que estos delincuentes se están volviendo más habilidosos cada día. Aun así, hay algunos consejos que puedes seguir para hacer que sea mucho menos probable que te acabes convirtiendo en una víctima:

  • Inspecciona siempre con cuidado la dirección de correo electrónico del correo que has recibido. Los estafadores del CEO suelen usar una dirección de correo electrónico que es ligeramente diferente de la dirección de la persona por la que se están haciendo pasar.
  • Habla sobre correos sospechosos con tu supervisor o colegas. Lo ideal es hablar sobre la petición que has recibido por correo electrónico en persona o por teléfono con el remitente por el que se hacen pasar.
  • Crea y aplica reglas claras en cuanto se trata de realizar pagos y cambios de información de pagos en tu organización.
International security coordinator
Marko has a Bachelor's degree in Computer and Information Sciences. He coordinates and manages VPNOverview.com's team of international VPN researchers and writers.