Cómo funciona el "fraude del CEO" (y cómo estar alerta)

Desde la masificación de internet, las estafas virtuales están a la orden del día, viéndose potenciadas durante la pandemia debido al aumento de tráfico de usuarios para mantenerse conectados con seres queridos o encontrar un entretenimiento en este encierro.
 
Y uno de estos tantos fraudes es el famoso “Fraude del CEO”, un engaño que desde BTR Consulting han estado siguiendo de cerca, debido a una serie de campañas de BEC-Business EMail Compromise o Compromiso de Correo Electrónico de Empresas dirigidas a ejecutivos de más de 1.000 compañías, recientemente en los Estados Unidos y Canadá. 

Este timo se basa en un objetivo bien claro: engañar a empleados que tienen acceso a los recursos económicos de su compañía para que paguen a un proveedor falso o hagan una transferencia desde la cuenta de la compañía.

Desde BTR ya han registrado más de 40 casos en Argentina de los cuales cerca del 50% cayó en la trampa. En general se trata de víctimas (empresas e individuos) con presencia regional/global, que fueron estafadas mediante transferencias de entre u$S 500.000 y u$S 3.000.000, que llegan a cuentas de ciberdelincuentes. 

Un dolor de cabeza
Los ataques BEC son un problema constante y costoso para las organizaciones, al punto de que en febrero, el FBI publicó su Informe de delitos en Internet, y señaló que recibió casi 24.000 quejas sobre estafas de BEC en 2019, con una pérdida total de U$S 1.7 mil millones y un aumento del 269% de tales estafas en el último trimestre del año pasado.   
 

El modus operandi

1. Un estafador llama o envía correos electrónicos haciéndose pasar por un alto cargo de la compañía (p. ej. el Director General).
2. Conoce bien cómo funciona la organización.
3. Solicita que se haga un pago urgente.
4. El empleado transfiere los fondos a una cuenta controlada por el estafador.
5. Las instrucciones sobre cómo proceder puede darlas posteriormente una tercera persona o por correo electrónico.
6. Usa expresiones como "Confidencialidad", "La compañía confía en ti", "Ahora mismo no estoy disponible".
7. Hace referencia a una situación delicada (p. ej. una inspección fiscal, una fusión o una adquisición).
8. Solicita al empleado que no siga los procedimientos de autorización habituales.

 
Detalles para estar atento

1. Correo electrónico o llamada telefónica no solicitados
2. Presión y carácter de urgencia
3. Comunicación directa con un alto cargo con el que normalmente no estás en contacto
4. Solicitud fuera de lugar que contradice los procedimientos internos
5. Solicitud de absoluta confidencialidad
6. Amenazas, comentarios aduladores o promesas de recompensa

Qué hacer si sos empresa 

1. Ser consciente de los riesgos y asegurarse que los empleados también lo estén
2. Motivar a los equipos de trabajo a ser precavidos cuando les soliciten un pago
3. Implementar protocolos internos para los pagos
4. Implementar un procedimiento para verificar la legitimidad de las solicitudes de pago recibidas por correo
5. Establecer procedimientos para gestionar el fraude
6. Revisar el contenido del portal web de la empresa, limitar la información y ser cauteloso en las redes sociales

 
Si sos empleado...

1. Respetar estrictamente los procedimientos de seguridad vigentes para los pagos y las compras
2. No saltarse ningún paso y no ceder a la presión
3. Revisar siempre con cuidado las direcciones de correo a la hora de manejar información delicada o hacer transferencias
4. En caso de duda sobre una orden de transferencia, consultar a un compañero experto
5. Nunca abrir enlaces o adjuntos sospechosos recibidos por correo. Se debe tener especial cuidado al consultar nuestro correo personal en los ordenadores de la empresa
6. Limitar la información y ser cauto en las redes
7. No compartir información sobre el organigrama, la seguridad y los procedimientos de la compañía