Seguridad

El fraude del CEO: cuando los ciberdelincuentes se hacen pasar por tu jefe

mal jefe

Según un nuevo estudio, el ‘fraude del CEO’ tiene éxito en el 42,95% de las ocasiones. Os explicamos en qué consiste esta estafa online, quizás la más antigua de la historia digital.

El conocido como ‘fraude del CEO’, uno de los timos online más antiguos que existen, sigue campando a sus anchas y afectando a miles de usuarios inocentes cada día. Para los lectores que no sepan exactamente de qué estamos hablando, esta ciberamenaza (tipo whaling, una evolución del phishing al uso) consiste en que un empleado de alto rango, o el contable de la empresa, con capacidad para hacer transferencias o acceso a datos de cuentas, recibe un correo, supuestamente de su jefe, ya sea su CEO, presidente o director de la empresa.

En dicho mensaje le pide ayuda para una operación financiera confidencial y urgente. Con ello, si el empleado no se diera cuenta de que es un mensaje fraudulento podría responder a su supuesto jefe y picar en el engaño. Además, los estafadores aprovechan ocasiones en las que el jefe está ausente o no está accesible, por ejemplo en el caso de una reunión o un viaje, para perpetrar este tipo de suplantaciones “para que la víctima no tenga la oportunidad de verificar su autenticidad”, alerta el INCIBE.

El phishing sigue su senda ascendente en el tejido empresarial

Pues bien, como decimos esta simple treta sigue funcionando a las mil maravillas. Según un nuevo estudio de Barracuda Networks, que ha analizado unos 3.000 ataques a correos electrónicos empresariales, el ‘fraude del CEO’ tuvo éxito en el 42,95% de las ocasiones. Casi la mitad de los casos, ahí es nada.

Eso sí, hay una pequeña evolución -no sabemos si a mejor o a peor- en cuanto al perfil al que van dirigidos estos ataques. Así pues, las víctimas de estos ataques son, a menudo, ejecutivos de rango medio en tanto que más de la mitad (53,7%) de los afectados no tienen el nivel C y no operan en departamentos sensibles como recursos humanos o finanzas.

En la mayoría de las ocasiones,  el objetivo de tal ataque es que la víctima envíe algo de efectivo (46,9% de los casos), seguido de que la víctima haga clic en un enlace malicioso (40,1% de las veces). A pesar de este último porcentaje, seis de cada diez ataques no tenían un enlace malicioso, sino que incluían texto plano sencillo con el objetivo de engañar a la víctima para que realizara una transferencia electrónica o enviara información confidencial. Estar en texto sin formato también dificulta que el software antivirus detecte el intento de fraude.

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, La Razón, El Mundo, ComputerWorld, CIO España, Business Insider, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo, ganador del Premio Día de Internet 2018 a mejor marca personal en RRSS y finalista en los European Digital Mindset Awards 2016, 2017 y 2018.