La pandemia ha traído consigo, entre otras muchas cosas, un incremento del teletrabajo, con todas las ventajas que ello supone, pero también con un claro aumento de los riesgos cibernéticos. En 2019 una administración valenciana ya vivió en sus propias cuentas las consecuencias del conocido como «fraude del CEO», con la pérdida de cuatro millones de euros en la Empresa Municipal de Transportes (EMT) de Valencia.

La última estafa de este tipo que se ha conocido a una empresa pública se produjo solamente hace dos semanas en el IVASS, con la sustracción de 100.000 euros. En definitiva, se trata de un grave asunto en el que la administración valenciana ha decidido tomar cartas.

El conocido como «fraude del CEO» es una estafa en la que se suplanta la identidad del CEO o un alto directivo y se solicita una transferencia por un alto valor económico, siempre bajo alguna excusa de gran importancia para la empresa.

En esta situación el empleado se encuentra ante el dilema de hacer lo que se le pide en el correo o desobedecer las órdenes de su jefe.

A diferencia del «fishing», que también abunda en la red y que consiste en un correo en el que se piden datos confidenciales, el fraude al CEO es un ataque dirigido y diseñado para una víctima concreta. Los ciberlicuentes identifican quién es la persona que puede ordenar un pago y quién es el empleado que puede materializar la operación.

Trabajo de investigación

A partir de ahí, los «hacker» realizan un verdadero trabajo de investigación, recopilan gran cantidad de datos sobre la empresa y la víctima para hacer una puesta en escena creíble. A través de las redes sociales se informan de los futuros eventos de la empresa, se descargan del portal de contratación del estado contratos, y se empapan de toda la información necesaria para hacer la estafa creíble.

También leen los emails para ver el vocabulario que se utiliza habitualmente, si la organización tiene una terminología interna, y cómo funcionan los pagos, quién y cómo los pide y quién y cómo los autoriza.

Una vez recabada suficiente información, los atacantes crean documentos falsificados que incluyen membretes oficiales, firmas escaneadas e incluso firmas digitales falsificadas, los cuales están perfectamente redactados y resultan extremadamente creíbles. El siguiente paso consiste en imitar o falsificar la dirección de correo electrónico. De este modo cuando el empleado recibe un mail de su jefe pidiéndole que haga una transferencia, todo parece muy real.

En varios casos, no solo se ha utilizado el correo electrónico, sino que se han recibido mensajes de texto o información por correo postal como parte del engaño. Generalmente los «hackers» transmiten sensación de urgencia para incitar al empleado a que actúe rápidamente y haciendo la menor cantidad de preguntas posible.

«Vamos a empezar una campaña dirigida a todas las Consellerias y a todo el sector público de la Generalitat para dar unas recomendaciones a los empleados públicos y qué sepan qué hacer, como identificar esos correos para no caer en el engaño y qué protocolos implantar en los departamentos para aumentar la seguridad, porque este tipo de casos cada vez son más frecuentes», ha explicado el director de Tecnologías de la Información y las Comunicaciones, José Manuel Duarte.

Los empleados públicos deben conocer cómo actúan los ciberdelincuentes para que en caso de recibir un correo fraudulento tengan la sospecha y levanten el teléfono para confirmar la orden que han recibido a través del correo electrónico.

Desde CSIRT-CV se han ido rastreando todos los intentos de fraude al CEO que han entrado en la Generalitat. Solo en el mes de enero se han detectado diez intentos de este tipo, todos ellos perfectamente imitados. Es un tipo de delito que va en aumento.

«Una vez detectado un intento, desde CSIRT se intentan rastrear todos los correos que emite ese mismo remitente, así como mails con un contenido similar, porque los suelen elaborar de forma parecida», ha explicado Duarte.

Para parar este tipo de ataques hace falta trabajar desde una triple perspectiva. Por un parte está el trabajo de CSIRT-CV, el organismo que vela por la seguridad TIC de la Generalitat.

Una segunda área es la parte de concienciación de los empleados públicos. La educación y capacitación de los funcionarios en temas vinculados a la seguridad resultan cruciales.

La tercera área se refiere a la robustez de los procedimientos que tienen que ver con el alta a terceros y la toma de decisiones. Todos los departamentos deben tener protocolos de transacciones financieras claros y sólidos.

«Es necesaria la colaboración e implicación de todos para parar este tipo de ataques. Sólo una acción coordinada puede resultar eficaz, por eso hemos lanzado esta campaña masiva», afirma Duarte.