“Estafa CEO” y “Mail Spoofing” o suplantación de identidad por correo electrónico: las nuevas técnicas para estafar a las empresas

Artículo Área Legal de SAYMA

«En los últimos meses se ha detectado una proliferación de estafas que se realizan a través del correo electrónico afectando a cualquier tipo de compañía- desde pequeños negocios a grandes multinacionales- y que conviene conocer para prevenir.»

Dentro de las ciberamenazas que afectan a las empresas están proliferando las denominadas Estafa CEO y el Mail Spoofing o la suplantación de identidad por correo electrónico, produciendo pérdidas- en algunos casos cuantiosas- en multitud de empresas. El objetivo final en todas estas modalidades de fraudes y estafas es generar la transferencia de fondos a una cuenta que está bajo el control de los ciberdelincuentes.

De las dos modalidades indicadas, la Estafa al CEO (o Fraude al CEO) es una estafa que se perpetra habitualmente a través de un empleado del Departamento Financiero- Administrativo o el contable de la empresa, con capacidad para hacer transferencias o que tiene acceso a datos de cuentas. El empleado recibe un correo supuestamente remitido por su jefe, ya sea su CEO, presidente o director de la empresa pero que en realidad ha remitido el ciberdelincuente empleando una dirección de correo electrónico parecida a la legítima, o incluso suplantada. En este mensaje solicitando la transferencia de una importante suma de dinero, le remite instrucciones para una operación financiera confidencial y urgente: para afrontar un grave problema fiscal o alguna acción comercial encubierta que no se puede hacer pública en ese momento…

Con carácter previo los ciberdelincuentes, una vez han accedido a los correos electrónicos y/o equipos informáticos de la empresa, estudian la empresa, a los cargos con responsabilidad y a aquéllos que tienen acceso a la caja o tienen autorización para realizar transferencias bancarias, analizando su día a día, la forma de relacionarse, incluso el lenguaje que utilizan. Pueden incluso llegar a aprovechar las ocasiones en las que el Directivo se ausenta físicamente de la oficina o del país para llevar a cabo este tipo de ataques de forma que resulte más complicado para el empleado contactar con él para confirmar las instrucciones remitidas por correo.

El Mail Spoofing o la suplantación de identidad por correo electrónico, también conocido por el fraude de facturas, es una estafa basada en la ingeniería social dirigida a empresas. Se produce cuando el estafador suplanta la identidad de un proveedor con el objeto de desviar el cobro de facturas.

El método utilizado para que la víctima crea que la fuente es fiable es el spoofing: el empleo de un remitente y diseño de correo electrónico casi idénticos de los del supuesto emisor (por lo general en la dirección de correo electrónico se cambia una letra por otra análoga, por ejempleo una “i” por una “I”, o se suprime únicamente una de las letras de la dirección de correo electrónico). A través de este correo – que en apariencia procede de un proveedor habitual-, se informa de la modificación de la cuenta de facturación del proveedor, solicitando que el pago se realice a una nueva cuenta que resulta ser titularidad de los ciberdelincuentes.

En este supuesto los ciberdelincuentes estudian la empresa a través de su página corporativa, redes sociales, accediendo a las cuentas de correo de los empleados. El objetivo es descubrir las relaciones que mantienen con sus proveedores, incluidos los detalles de los pagos regulares, así como la relación de facturas de pago pendientes.

A partir de este momento, la víctima enviará todos los pagos a la cuenta bancaria que controla el estafador.

Por lo general, el fraude únicamente se descubre cuando el proveedor legítimo reclama el impago de las facturas que la empresa realizó a la cuenta facilitada por el ciberdelincuente.

Para proteger a nuestra compañía de estos fraudes debemos establecer y aplicar adecuados protocolos y controles financieros, además de concienciar a través de su correcta difusión, de la necesidad de su cumplimiento para evitar caer en estos fraudes.

Unas básicas recomendaciones de seguridad serían las siguiente:

  • Haga difusión del protocolo de seguridad donde se especifique qué personas pueden ordenar transferencias económicas y cuál debe ser el procedimiento para llevarlas a cabo.
  • Difundir el organigrama de la empresa con el objetivo de que todo el personal sepa cuáles son las personas que configuran la estructura y el modo de ponerse en contacto (teléfono y correo electrónico).
  • Establecer un protocolo interno para las notificaciones de cuentas bancarias por parte de los proveedores.
  • Además de solicitar el certificado bancario de la nueva cuenta, confirme siempre con su proveedor por teléfono.
  • Para las transferencias bancarias de grandes importes de dinero adopte con la entidad bancaria un sistema de «doble verificación» para autorizarlas (correo electrónico-teléfono, por ejemplo).
  • Establecer un sistema de comunicación segura por correo electrónico -mediante firmas digitales- con los clientes y proveedores.
  • Comprobar que el remitente es quien dice ser analizando la cabecera del correo
  • Desconfíe de las transferencias de dinero a bancos situados en países que no guardan ninguna relación con el país de su proveedor.
  • Muchos estafadores utilizan órdenes de pago o facturas obtenidas de manera fraudulenta previamente. Es importante revisar los documentos a menudo y cambiar el diseño o el formato, o en su caso, aplicar medidas de verificación.
  • Revisar el contenido y el contexto: errores gramaticales y de puntuación en el texto; estilo de escritura diferente al de los mensajes anteriores del mismo remitente; contenido del mensaje excesivamente urgente o de contenido dramático…
  • Formar y dar directrices concretas a los empleados en función de su nivel de responsabilidad.
  • Permanecer informado sobre nuevas modalidades de fraude online y como evitarlos (https://www.incibe.es/)

Si ha sido víctima de este tipo de delitos o tiene alguna sospecha, no dude en contactar con el Área Legal de Sayma.