Cuidado si tu jefe te pide una transferencia urgente: pueden vaciar la cuenta de tu empresa

Las empresas de telecomunicación suelen advertir periódicamente sobre intentos de fraude que pueden afectar a sus clientes, y que les llegan a través de llamadas telefónicas, emails, SMS o mensajes de WhatsApp. Este último canal es el elegido por los ciberdelincuentes para pescar incautos mediante la denominada estafa del CEO, según advierte Movistar en un reciente aviso de seguridad digital.

En esta modalidad de 'phishing' (suplantación de identidad) un empleado con capacidad para ejecutar transferencias o con acceso a recursos económicos recibe una comunicación de un supuesto superior (CEO, presidente o director de la empresa) en la que le pide ayuda para realizar una operación urgente y confidencial.

El mensaje que Movistar pone como ejemplo de esta modalidad de estafa es el siguiente: «Buenos días. Perdona que te contacte directamente por WhatsApp. Estamos en medio de una importante operación para nuestra empresa y la adquisición de una nueva compañía. ¿Puedes ayudarme?».

«Necesito realizar una transferencia de 300.000 euros a la siguiente cuenta IBAN XXXX. Hay que hacerla de forma urgente para cerrar la operación», finaliza el WhatsApp.

El objetivo es que el empleado responda a esa petición y, o bien revele datos sensibles de la empresa, o directamente ejecute la operación. Como sucede habitualmente, los ciberdelincuentes presionan apelando a la urgencia de la acción, y en este caso juegan además con el miedo del trabajador a desobedecer a un superior.

Como explica el Instituto Nacional de Ciberseguridad (Incibe), antes de lanzar su campaña de mensajes los estafadores han realizado un exhaustivo trabajo de investigación a la empresa mediante técnicas OSINT (Inteligencia de Fuentes Abiertas). Es decir, la recopilación y análisis de información pública disponible legalmente.

Así obtienen datos sensibles sobre la compañía: organigrama, nombres y correos electrónicos de los directivos, fechas de vacaciones de los jefes, o los datos de proveedores y clientes. Además, analizan perfiles en redes sociales y monitorizan emails para identificar quién toma decisiones de pago.

Los datos recopilados se usan para «generar confianza» a las potenciales víctimas. «En la mayoría de los casos -explica el Incibe- están varias semanas dentro del correo de la víctima, conociendo los pormenores de las operaciones antes de perpetrar el fraude, observan los correos y crean reglas específicas».

Después, «esperan a que llegue el momento oportuno para actuar, por ejemplo, cuando se espera una factura de un importe alto, hay un nuevo cliente o el responsable está de vacaciones».

Este fraude no es nuevo. Los ciberdelincuetes llevan años utilizando correos falsos o llamadas suplantando la identidad de directivos. «Sin embargo, con el auge de la inteligencia artificial esta estafa ha dado un paso más con el uso de los deepfakes», advierte el instituto de ciberseguridad.

«Con esta tecnología los estafadores pueden perfeccionar la técnica e incluso imitar con gran realismo la voz o la imagen de un directivo, haciendo que sus peticiones parezcan aún más creíbles en videollamadas o audios», añade el Incibe.

En su aviso, Movistar explica cómo protegerse de este intento de estafa. «Confirma la autenticidad del mensaje, ya sea por mail, llamada, sms o WhatsApp. Reporta a un superior, lo antes posible, el intento de ataque. Contacta con la persona que está siendo suplantada a través de otro medio», anima.

Temas

• WhatsApp
• Audiencias
• Ciberseguridad