9 de agosto de 2016

Fraude al CEO', el email que está costando miles de euros a empresas españolas

Unos ladrones mandan un mail al contable de una empresa, haciéndose pasar por un alto directivo que le ordena una transferencia millonaria a una cuenta en China. El contable obedece ciegamente y la empresa pierde miles de euros. O millones. Es el 'fraude al CEO' y está creciendo como nunca 'gracias' a la tecnología. Cientos de empresas de todo el mundo lo están denunciando. En España, se ceba en las pymes.  
A finales de enero, un banco belga anunciaba que le habían robado 70 millones de euros con el 'fraude al CEO'. Pocos días después, un constructor austríaco de sistemas para aeronaves afirmaba haber perdido 50 millones con el mismo engaño. "En España empezó hace un par de años y tenemos cada vez más casos, nosotros detectamos unos 15 cada semestre", asegura Alberto Redondo, Jefe de Delitos Tecnológicos de la Guardia Civil.
Un banco belga perdió 70 millones de euros con esta técnica. Pocos días después, a un constructor le estafaron 50 millones con el mismo engaño
A nivel mundial son cientos las empresas, grandes y pequeñas, que han sido estafadas. No hay estadísticas en nuestros país pero sí en Estados Unidos, donde el FBI lo tipifica como 'Business Email Compromise' (Compromiso de Correo Empresarial). Desde octubre de 2013 hasta agosto de 2015 se han denunciado más de 7.000 casos, con unas pérdidas de 750.000 millones de dólares. Entre enero y agosto de 2015 se incrementó un 270%.
José Selvi, 'hacker' blanco en la empresa británica NCC Group, explica en qué consiste este fraude: "El atacante suplanta la identidad de una persona con alto poder de decisión (el Director Ejecutivo o el Financiero) y aprovecha alguna ocasión en la que este no esté accesible, como puede ser un viaje, para usurpar su identidad, con un correo que parezca ser el 'email' personal del directivo, una llamada falsa o alguna técnica similar". 

Los criminales estudian durante meses el comportamiento de los directivos que pretenden suplantar. (iStock)
Los criminales estudian durante meses el comportamiento de los directivos que pretenden suplantar. (iStock)
El Jefe de Delitos Tecnológicos añade otra modalidad, más extendida en España: "Mediante redes sociales o también accediendo al ordenador de los directivos, investigan sus relaciones comerciales con empresas y simulan una petición". La última estafa de este tipo que ha visto la Guardia Civil "simulaba ser la empresa que normalmente compraba bobinas de cobre a otra y hizo un pedido que se entregó en un punto intermedio. También lo hacen con dinero: piden un adelanto para gastos", explica Redondo.
Los ladrones hacen un seguimiento al directivo en el mundo físico, para saber dónde vive y trabaja, y en las redes sociales, para descubrir con quién se relaciona profesionalmente, cómo habla y su contexto personal. Según el nivel técnico de los criminales, el seguimiento puede ser más profundo, explica Redondo: "Pueden 'hackear' sus cuentas, la wifi de su casa, la wifi pública del bar donde desayuna.. o, si saben qué periódico lee, pueden atacar sus servidores DNS para que crea estar visitando el periódico mientras le introducen un virus".

Falsas auditorías

Con toda esta información recopilada y analizada, incluidos los protocolos de la empresa, horas de mayor o menor trabajo, empieza el fraude propiamente dicho. En los últimos casos detectados por el Grupo de Delitos Tecnológicos, los delincuentes impersonan a los directivos usando direcciones de correo electrónico que puedan inducir al equívoco. Por ejemplo: si la dirección correcta del directivo es luis@elconfidencial.com, mandan el mensaje desde luis@confidencial.com. En él, piden a uno de sus clientes que "por esta vez" haga la transferencia a una cuenta diferente de la de siempre.
La Guardia Civil ha visto otras variantes: los ladrones saben que una empresa está a punto de ser auditada y la llaman simulando ser el auditor, para pedirle todo tipo de datos confidenciales con la excusa de hacer la auditoría, como números de cuentas bancarias y otros datos. Los botines que se llevan son considerables. En el caso de las bobinas de cobre, la empresa víctima, de 20 trabajadores, perdió 140.000 euros. 
Una auditoría puede ser una vulnerabilidad explotada por los criminales: aprovechan el momento para pedir datos y números de cuenta
Para hacerse una idea de cómo funciona este fraude desde el punto de vista de las víctimas es ilustrativa la denuncia que presentó a finales del año pasado una empresa de Texas, AFGlobal. Su director de cuentas recibió una mañana diversos 'mails' de alguien que aseguraba ser el CEO de AFGlobal:
"Glen, te he asignado para que lleves el archivo T521. Esta es una operación financiera estrictamente confidencial así que comunícate conmigo sólo a través de esta dirección de correo y no hables con nadie sobre esto", decía el correo.

Una compañía de Texas perdió 480.000 dólares con la maniobra. ¿El destino? Una cuenta del Banco Agrícola de China. (Reuters)
Una compañía de Texas perdió 480.000 dólares con la maniobra. ¿El destino? Una cuenta del Banco Agrícola de China. (Reuters)
Media hora después, otra comunicación, supuestamente de un consultor de la otra parte implicado en la operación, pedía al contable que ingresara 480.000 dólares en concepto de gastos derivados de la adquisición. El delincuente siguió mandando 'mails' hasta completar la transferencia a una cuenta del Banco Agrícola de China. 
Según la denuncia, "el impostor parecía conocer los procedimientos normales de la compañía y parecía también saber que el CEO tenía una larga relación, muy personal y familiar, con el contable, lo suficiente para que este no cuestionase lo que le pedía el CEO". Lo peor llegó cuando AFGlobal notificó el robo a su compañía de seguros, que no quiso cubrirlo. 
Este trabajo puede llevar varios meses de espionaje o seguimiento en el mundo virtual o incluso real
Manel Medina, director del esCERT-inLab-UPC y coordinador R&D del Anti Phishing Working Group Europa, lo explica: "Este fraude requiere mucha preparación logística, analizando mensajes de los directivos que se van a suplantar para conocer su lenguaje, forma de expresarse y negocios que lleva entre manos, para dibujar un escenario creíble al empleado que se va a engañar. Este trabajo puede llevar varios meses de espionaje o seguimiento en el mundo virtual o incluso real".
Una empresa francesa de 50 trabajadores, Etna Industrie, fue también víctima del fraude: "Alguien llamó a nuestra contable el viernes por la mañana, avisándole de que la presidenta le mandaría un mensaje con instrucciones sobre una transacción muy confidencial que debía seguir".

Nestlé ha sido víctima de la técnica del 'fraude al CEO'. (Reuters)
Nestlé ha sido víctima de la técnica del 'fraude al CEO'. (Reuters)
Poco después, un 'mail' en cuyo remitente aparecía el nombre de la presidenta anunciaba a la contable que su empresa iba a comprar una compañía en Chipre y que un consultor le llamaría para darle instrucciones sobre dónde debía transferir el dinero. Todo pasó entre las 9 y las 10 de la mañana, en este tiempo la contable recibió 10 'mails' y tres o cuatro llamadas telefónicas.
La presión de los estafadores quería evitar que la contable se parase a pensar. En poco tiempo autorizó transferencias por valor de medio millón de euros a cuentas en bancos extranjeros. Por suerte para la empresa, se pudo recuperar la mayoría y "sólo" perdió 100.000 euros. En Francia, en los últimos 5 años, se han perdido 465 millones y 15.000 empresas han sido víctimas de esta práctica, entre ellas Michelin, KPMG o Nestlé.
La Guardia Civil recomienda un sistema de doble verificación antes de ejecutar órdenes sensibles
"Las empresas más grandes y con proyección global son las más apetecibles para los estafadores porque están acostumbradas a transferir grandes cantidades de dinero a países 'exóticos'", afirma Manel Medina, aunque el mayor número de víctimas son las pequeñas y medianas empresas, con una seguridad más relajada. Las estadísticas fijan en un 10% el número de empleados que caerían en esta trampa. "Si entre ellos hay uno que tenga poderes para autorizar transferencias de dinero, es suficiente", afirma Medina.

Seguir los protocolos y tener sentido común

El cumplimiento estricto de los protocolos de la empresa debería servir como defensa ante el 'fraude al CEO'. También que los empleados no obedezcan ciegamente una orden porque parezca venir de un directivo. "Si se pide una transferencia sólo con intercambios de correo o se cambian cuentas habituales hay que sospechar y llamar por teléfono para confirmar", afirma el Jefe de Delitos Tecnológicos.
Además, asevera Redondo, hay que fijarse en la redacción de algunos correos. Aunque hay bandas nacionales dedicadas a este fraude, también pululan algunas de Europa del Este que traducen los mails al español con Google Translate y "les chirría el castellano". Otra recomendación de la Guardia Civil es que "para órdenes sensibles debe haber un doble sistema de verificación". Asegurar el portátil del CEO y usar el sentido común son también buenos consejos.
Manel Medina incide además en la importancia de formar a los empleados, "desde el de la limpieza hasta la cúpula directiva". El CEO de la empresa Centrify, que ha sufrido diversos intentos de fraude de este tipo, aporta unaoriginal idea: "Compra los dominios que sean variaciones del de tu compañía y puedan usar los timadores para confundir a tus empleados".

1 comentaris:

Anónimo dijo...

Buahhhh
Pedazo timo, esto sí es una estafa en condiciones y no esas ratas rumanas que juegan con la ilusión de las vacaciones de miles de pobres trabajadores.

Eso sí, evitar esto es tan sencillo como hacer lo que dice la GC:

“La Guardia Civil recomienda un sistema de doble verificación antes de ejecutar órdenes sensibles”

Publicar un comentario

Twitter Facebook Favorites

 
Design by NewWpThemes | Blogger Theme by Lasantha - Premium Blogger Themes | New Blogger Themes