El fraude del CEO es un tipo de ciberataque que se ha ido haciendo popular con el paso del tiempo, por su efectividad y el crecimiento que ha experimentado. También denominados ataques de Business Email Compromise (BEC), este tipo de ataques podrían tener un aumento de más de 9.000 millones en 2018, según cifras del fabricante de seguridad Trend Micro. ¿Los ingredientes de este ascenso? Una mezcla de simplicidad y efectividad.
¿En qué consiste el fraude?
El ataque usa el engaño y se aprovecha de la confianza de los empleados para conseguir grandes cantidades de dinero. Hay diferentes variantes, pero el fraude tipo consiste en el envío de un email a un trabajador del departamento de finanzas de una empresa, que parece provenir de un superior. Este supuestamente le requiere que realice una transferencia, normalmente a una cuenta de un proveedor. Sin embargo, tanto el correo electrónico como las cuentas bancarias son fraudulentas.
Durante un período de nueve meses (de enero a septiembre de 2017), Trend Micro ha examinado ataques BEC para analizar hacia dónde se dirigen estas amenazas, y las herramientas y técnicas usadas por los ciberdelincuentes. Estas, las dividen en dos técnicas principales, siendo la primera de ellas a través de la captura directa de credenciales y la segunda sólo mediante correo electrónico.
La técnica de captura de credenciales conlleva el uso de keyloggers (software malicioso que detecta las pulsaciones del teclado), y kits de phishing para robar las credenciales y acceder al correo de las organizaciones.
Cuando se usa solamente el correo electrónico, esta técnica incluye el envío de un email a una persona del departamento financiero, principalmente al responsable o director. A continuación, los ciberdelincuentes diseñan un correo electrónico que simule ser enviado por un directivo de la compañía, dando una orden de transferencia económica. En algunas ocasiones esta técnica incluye el uso de malware, en otras solo phishing.
Estos ataques se basan además en las técnicas de ingeniería social: emails diseñados para parecer creíbles, un uso inteligente del apartado «asunto» en el email, o manipular el remitente del correo. Básicamente, un sofisticado engaño.
Prevenirlo por tanto no es sencillo, de ahí las elevadas cifras de crecimiento que se esperan de estas técnicas. Una buena educación en ciberseguridad por parte de los empleados y formación en este tipo de técnicas sería más que aconsejable para reducir al máximo los riesgos.