Fraude del CEO: Qué es, Cómo Funciona y Cómo Defenderse

La estafa del falso CEO es un fraude informático que consiste en ponerse en contacto con la persona adecuada de forma correcta con una identidad de ejecutivo falsa para inducirle a realizar una transferencia bancaria urgente. He aquí todos los detalles y consejos para defenderse.

Qué es el Fraude del CEO

La llamada estafa del CEO es un tipo de fraude informático creado por organizaciones criminales bien organizadas que, con antelación, adquieren información sobre la empresa que pretenden atacar, estudiando sus actividades, funciones y modus operandi.

Una vez en posesión de la información necesaria, la estafa toma forma contactando, con una falsa identidad de ejecutivo, con la persona adecuada y de la forma adecuada, induciéndole, con astutos juegos psicológicos, a realizar una transferencia bancaria urgente.

Una vez más, nos encontramos ante un ciberataque que juega con el elemento humano. La única defensa posible en estos casos es actualizar y mejorar la concienciación del personal de las empresas: la llamada concienciación en materia de seguridad.

La Estafa del Falso CEO: Antecedentes Históricos

La estafa del falso CEO es básicamente una evolución de una estafa tradicional basada en el engaño, la persuasión y la falsa identidad, perfeccionada ahora con los nuevos medios de comunicación.

Una de las primeras formas de fraude financiero por correo electrónico que saltó a la fama fue la “estafa al estilo nigeriano”, que apareció en 2016 en Nigeria y prometía a las víctimas generosas recompensas a cambio de donaciones a un príncipe ficticio.

Sin embargo, el fenómeno, que ya estaba presente desde hacía tiempo, se ha desarrollado a lo largo de los años, representando de hecho un factor de alto riesgo para las pequeñas, medianas y grandes empresas, con enormes daños económicos y consecuencias ruinosas.

Anatomía de un Ataque Fraude del CEO

La metodología de ataque utilizada en el fraude del falso CEO es muy enrevesada y difiere del spamming (que a menudo contiene elementos reconocibles y con respecto al cual las empresas y los particulares suelen tener más cuidado), en que en este caso el vector es un correo electrónico, por lo general sin que necesariamente vaya acompañado de archivos adjuntos.

Para hacer el escenario más creíble y convincente, no se puede descartar que el atacante intente también contactar telefónicamente con sus víctimas.

Los estafadores pueden hacerse pasar por un ejecutivo, un director general de la propia empresa, o un directivo de un socio corporativo, que requiere una transacción bancaria urgente, indispensable para el buen fin de una negociación confidencial o de un proyecto en curso.

Para ser lo más convincentes posible, los elementos en los que se basan los atacantes son:

• el uso de la autoridad; y
• el énfasis en la urgencia de la transacción para el éxito de la transacción confidencial;
  la explotación concomitante y la presión psicológica sobre la víctima.
• suplantación de la dirección de correo electrónico para falsificar su identidad
• Compromiso de la cuenta de correo electrónico (¡aún más grave!) con violación de las credenciales (Business Email Compromise);
• interceptación de la comunicación por correo electrónico (Man in the Mail).

Analicémoslos en detalle.

Suplantación de identidad (Spoofing)

El spoofing, técnica utilizada para falsificar direcciones de correo electrónico, direcciones IP o direcciones DNS, es precisamente un tipo de falsificación tecnológica utilizada, en este caso, para hacer creer a la víctima que la identidad del remitente del correo electrónico y su contenido son fiables, mediante la creación de una dirección de correo electrónico igual o muy parecida a la original.

Compromiso de la cuenta de correo electrónico

Por desgracia, las violaciones de datos en las que se piratean grandes cantidades de datos sensibles y se hacen públicos en bases de datos en línea son ya habituales. Entre los casos más famosos se encuentra el de “Collection #1”, que supuso la violación de millones de direcciones de correo electrónico y contraseñas.

Por lo tanto, el riesgo de que se produzca un posible compromiso de una cuenta de correo (ataque BEC, Business Email Compromise) como consecuencia de este tipo de sucesos no es nada desdeñable.

Las técnicas más comunes que pueden poner en peligro a las empresas, haciéndolas más vulnerables a este tipo de compromisos, son los ataques de fuerza bruta, el phishing, el spear phishing y la ingeniería social.

Interceptación del correo electrónico

Con esta modalidad de ataque, un individuo puede interceptar el correo electrónico de una empresa y hacer que los pagos vayan a parar a cuentas distintas de las legítimas, insertarse en conversaciones que ya pueden haber tenido lugar, recuperar pedidos y facturas que realmente se han ejecutado y producir documentación falsificada con cabeceras y logotipos originales.

Los correos electrónicos utilizados también pueden contener archivos adjuntos armados con cargas útiles debidamente programadas, con el fin de apoderarse de contactos y credenciales adicionales de otros servicios.

Para llevar a cabo el Man in the Mail, los atacantes necesitan disponer de una cantidad sustancial de información sobre el objetivo a atacar, información que puede obtenerse a partir del espionaje interno de la empresa, de la consulta de fuentes de libre acceso o mediante cuidadosas prácticas de ingeniería social.

Fraude del CEO: Análisis de un Mensaje Malicioso

El escenario típico es el siguiente:

El atacante, tras un estudio previo destinado a descubrir los procedimientos y roles de la empresa y cualquier otra información útil, pasa al ataque suplantando la identidad de un directivo de la empresa y enviando un correo electrónico falso al contable para el pago de una transferencia.

El texto del correo electrónico examinado presenta elementos clave que, en conjunto, producen un mensaje capaz de inducir a la víctima “involuntaria” a realizar la acción deseada por el delincuente.

A continuación se presentan algunos fragmentos del texto que, en un contexto determinado, pueden conducir a la persuasión del interlocutor, logrando suscitar en él la aprobación de lo que está leyendo.

Buenos días,
Me gustaría informarle de que estoy a punto de concluir una importante negociación confidencial con: y es de suma importancia finalizar una transacción financiera..
((1) Autoridad del remitente;)
Por lo tanto, le ordeno que realice el pago de la suma poniéndose en contacto con el departamento financiero para comunicar los datos bancarios de la cuenta,...
incluyendo en el mensaje la referencia...
((2) Potenciación y presión psicológica sobre la víctima;)
Confiando en su capacidad y profesionalidad, le felicito por su sigilo profesional para el éxito de la negociación...
((3) confidencialidad de la transacción;)
Le saludo cordialmente

Cómo Protegerse contra la Suplantación de Identidad

La verdadera amenaza que supone la suplantación del remitente de un correo electrónico explota esencialmente una frontera:

• la falta de gestión de la autenticación por parte del protocolo estándar SMTP, responsable de la transferencia del correo electrónico;
• la característica, común a todos los clientes de correo electrónico, de mostrar habitualmente sólo el nombre del remitente como cabecera de los mensajes.

Estos dos factores significan que la identidad del remitente real puede camuflarse mediante alias engañosos.

Para buscar la verificación de la identidad y excluir el engaño, es importante ver las cabeceras completas del correo electrónico recibido. Esta información puede obtenerse tanto si se utiliza un cliente de correo como un servicio de correo web, buscando en las propiedades del mensaje o en las opciones de un menú como Mostrar cabeceras, Mostrar detalles o Leer cabecera.

En caso de duda, siempre es aconsejable que un experto analice las cabeceras (visibles y ocultas).

Cómo Saber si tu Correo ha Sido Pirateado

En caso de que el correo electrónico fraudulento se haya enviado desde el buzón original y no desde una dirección falsificada, estamos ante un caso de violación de cuenta y no de simple “suplantación de identidad de correo electrónico”.

Para saber a tiempo si puede existir el riesgo de que se produzca una eventualidad de este tipo, antes de que sea demasiado tarde para ponerle remedio, existen sitios y herramientas especiales en línea que, gracias al análisis de numerosos casos conocidos y estudiados a nivel mundial, son capaces de establecer (¡siempre con el beneficio de la duda!) si una dirección de correo electrónico ha sido o no objeto de una violación en el pasado.

Entre las diversas posibilidades que ofrece la web se encuentran una serie de servicios:

• Have I Been Pwened?
• Firefox Monitor
• Identity Leak Checker

Qué Hacer para Protegerse de la Estafa del Fraude CEO

Para contrarrestar la estafa del falso CEO y la posibilidad de que los ciberdelincuentes comprometan la cuenta de correo electrónico de una empresa infectando su identidad digital y apoderándose de contactos sensibles, es fundamental:

• disponer de políticas y protocolos para tratar los correos electrónicos en general y, en particular, los que solicitan transferencias y otra información sensible (procedimiento interno antifraude)
• prever procedimientos de retroalimentación para verificar los remitentes
• implicar a toda la dirección de la empresa en el plan de gestión del control
• formar al personal a todos los niveles, informándoles de los tipos de fraude posibles y sensibilizándoles sobre los factores de riesgo reales;
• utilizar contraseñas seguras o, mejor aún, cadenas alfanuméricas (frases de contraseña), cambiándolas periódicamente, para contrarrestar los ataques de fuerza bruta o basados en diccionarios;
• considerar la adopción de técnicas de autenticación multifactor.