Tecnología

Diez consejos para no ser víctima del fraude al CEO, una estafa en aumento

En los últimos meses se ha detectado un aumento de estas estafas, en instituciones públicas y privadas

Comprobar el dominio del remitente, uno de los primeros pasos
Comprobar el dominio del remitente, uno de los primeros pasoslarazon

Comprobar el dominio del remitente de un correo que pide una transferencia urgente, hacer una comprobación telefónica, o sospechar de los correos que indican cambios en cuentas de proveedores o la realización de transferencias o cobros con carácter confidencial y urgente son algunos de los consejos incluidos en una campaña de la Conselleria de Hacienda para evitar los fraudes al CEO.

Se trata de una estafa en la que, mediante un correo remitido supuestamente por un superior de la organización a un empleado, se le presiona para realizar alguna operación financiera o un cambio de cuenta indicándole que es confidencial y urgente.

Se ha detectado un incremento de casos de este fraude en los últimos meses tanto en instituciones públicas como privadas y por eso la Conselleria ha lanzado una campaña destinada a instituciones y entidades privadas para prevenirlo.

Bajo el título “10 consejos para no ser víctima de un fraude al CEO”, la campaña tiene como objetivo concienciar a los empleados, especialmente a los que tienen capacidad para gestionar las cuentas y pagos, para no ser víctimas de estos engaños, evitar que se produzcan pérdidas económicas y concienciar a las empresas e instituciones de los peligros a los que se expone, según el director general de Tecnologías de la Información (DGTIC), José Manuel García Duarte.

Los miembros de cualquier organización deberían ser la primera barrera ante estos intentos de fraude que son cada vez más difíciles de detectar por estar muy perfeccionados, pero deberían contar también con el respaldo claro de sus organizaciones, con una apuesta firme por robustecer los procedimientos y los sistemas de seguridad, ha añadido.

El engaño puede iniciarse también solicitando información sobre facturas pendientes, mediante un correo o llamada suplantando a dicho organismo. “Los últimos casos descubiertos estaban perfectamente organizados y los correos eran muy creíbles, dado el nivel de conocimiento de la organización que presentaban, por lo que debemos extremar las precauciones”, ha señalado García Duarte.

Si un empleado recibe un correo electrónico solicitándole una transferencia urgente, debe comprobar el dominio del remitente y asegurarse de que esa dirección coincide exactamente con la cuenta de correo electrónico que corresponda, puesto que los ciberdelincuentes tienen que realizar pequeños cambios que pasan desapercibidos.

Lo mejor es hacer una comprobación telefónica para hablar directamente con el superior, pero nunca utilizando los teléfonos que aparezcan en el correo sospechoso, sino al contacto del que se disponga en la base de datos o directorio de la propia organización.

Hay que sospechar de todos los correos, por muy creíbles que parezcan, que indican cambios en cuentas de proveedores o la realización de transferencias o cobros con carácter confidencial y urgente porque los ciberdelincuentes quieren dar el menor tiempo posible a la víctima para evitar ser descubiertos.

Los atacantes suelen crear documentos falsificados que incluyen membretes oficiales e incluso firmas digitales falsificadas muy creíbles que hacen muy difícil su identificación.

Importante también es la prevención en la información que se facilita a terceros, ya que los fraudes al CEO más sofisticados van precedidos de una fase de investigación para recabar información sobre la estructura orgánica y funcional del organismo, personas de contacto, facturas, cobros, contratos o incluso de la propia Plataforma de Contratación del Estado o webs oficiales para conocer qué concursos públicos hay en marcha o qué información creíble pueden tergiversar.

Es fundamental que la empresa disponga de procedimientos robustos de validación para ciertas operaciones, como la exigencia de la firma digital o el establecimiento de doble firma para operar con importes que superen ciertas cantidades.

Igualmente, hay que desconfiar de los correos electrónicos cuyo texto esté mal redactado o con faltas de ortografía; evitar pulsar cualquier enlace en mensajes desconocidos, abrir documentos de procedencia incierta y evitar enviar credenciales de acceso mediante correo electrónico a nadie, aunque sea de confianza.

Recomienda fijarse en la sintaxis de los enlaces a páginas web que lleguen por correo electrónico y permanecer siempre alerta, especialmente a las propuestas de cambio de cuentas bancarias, peticiones de información sobre facturas pendientes, así como a solicitudes de cambio de contactos, de cuantías de servicios contratados, cambios de resultados en procesos de adjudicación o a solicitudes de transferencias urgentes por encontrarse el responsable habitual fuera de la oficina.