La estafa del CEO: así es el timo millonario del que se avergüenzan las empresas

¿Qué harías si te llega un mensaje de tu jefe con el asunto: ayuda? ¿Lo abrirías? ¿No? Lo más probable es que, dada la excepcionalidad de la situación, le dediques algún tiempo. Quizá no más de un minuto, pero el mero hecho de que tu superior te pueda estar solicitando información o dinero resulta más que sugerente. Entonces, pinchas en el correo electrónico y... se desata el ciberataque.

A grandes rasgos, así es como funciona el timo del CEO, un tipo de estafa en la que se suplanta la identidad de tu jefe para acceder a los sistemas informáticos de una empresa. Aunque esto suene a ciencia ficción, la realidad es que ya existe algún que otro precedente. Por ejemplo, en 2019, un grupo de hackers consiguió robar cuatro millones de euros a la EMT de Valencia por esta vía. Y, últimamente, lo estamos viviendo cada cierto tiempo por culpa de la crisis sanitaria provocada por el COVID-19. La última gran hazaña de estos delincuentes está relacionada, precisamente, con su vacuna: el grupo farmacéutico Zendal, que iba a desarrollar la suya en sus instalaciones de Galicia, ha sufrido una pérdida de nueve millones de euros también a través de está práctica.

Si por algo se caracteriza esta técnica de Business email compromise (BEC) es por la alta personalización que presentan los emails enviados. Reproducen perfectamente el tono y el tipo de relación que cada trabajador mantiene con su jefe, lo que hace que todo cobre una veracidad máxima. ¿Quién puede pensar que detrás de un mensaje de ayuda se puede esconder un timo?

Por lo tanto, requiere un control previo de la empresa. Incluso, a veces, también introducen algún programa malicioso para obtener más información al respecto. A continuación, el criminal tiene dos opciones: utilizar el correo electrónico o realizar una llamada para solicitar el desvío de ciertos fondos a una cuenta determinada que, en cuestión de minutos, sería vaciada. Si se opta por la primera opción, cabe la posibilidad de que el trabajador se percate de que no se trata de un mail institucional, por lo que la segunda posibilidad resulta más efectiva. Es decir, ¿que harías si tu superior te llama y te pide directamente que realices una determinada operación bancaria? Lo haces al momento. Para ello, tan sólo se requiere saber el nombre del empleado y su número de teléfono.