La Policía Nacional ha advertido por Twitter del “fraude del CEO”, una estafa recurrente que comenzó en 2017. Este timo llega al ciudadano mediante un correo electrónico en el que los estafadores se hacen pasar por un superior de su empresa. En el mensaje se informa de que se va a realizar “una operación financiera confidencial” de la que deberá hacerse cargo el empleado. “¿Puedes atenderme esta tarde con prioridad?”, añade habitualmente el texto.
Después de este mensaje, se incluye en el mismo correo, o en otro distinto, la petición del “saldo de las cuentas corrientes a día de hoy”, además de la “necesidad” de unos movimientos bancarios urgentes por parte del empleado. “¿Puedo contar con tu entera colaboración y discreción? Es un asunto muy sensible de momento”, concluye el mensaje, con la intención de evitar que el trabajador consulte a su CEO (director ejecutivo de la empresa) real sobre esas operaciones.
Desde el INCIBE (Instituto Nacional de Ciberseguridad) conocen bien el fraude del CEO, como explican a Newtral.es, pues lleva años advirtiendo de este bulo mediante historias reales de sus víctimas. El modus operandi de los estafadores es cuidado y sigue varios pasos, además de que adopta varias formas según el caso. La Brigada Central de Investigación Tecnológica (BCIT) de la Policía Nacional explica a este medio que en estos años se han detenido a algunos responsables de la estafa, pero que puede seguir llevándose a cabo.
Por otro lado, Francisco Andrade, consultor de ciberseguridad, denuncia que este tipo de estafas son muy comunes y que es muy complicado recuperar el dinero después porque normalmente utilizan criptodivisas y “muleros”, personas intermedias que desconocen la estafa.
Con los datos bancarios, los estafadores realizarán cobros hasta que se detecte el engaño
El modus operandi del fraude del CEO es elaborado. Cuando los estafadores eligen a una empresa, tratan de determinar un organigrama que les permita conocer los puestos de trabajo y conseguir el contacto de alguno de los empleados que les interese.
El siguiente paso, habitualmente, es contactar con un trabajador con cualquier solicitud, como pedir información de algún producto, con el objeto de “obtener un correo legítimo de la empresa para tomarlo como plantilla y replicar la firma o elementos distintivos para lanzar el ciberataque”, según explica el INCIBE. Esta es la razón por la que los correos fraudulentos tienen, habitualmente, un aspecto corporativo y resultan creíbles para los empleados.
Acto seguido, los estafadores desarrollan la técnica llamada cybersquatting, que consiste en comprar un dominio similar al de la empresa que desea suplantar, sustituyendo pequeños aspectos del nombre como una letra o un punto.
Así, con la estética del correo, la identidad del alto directivo al que suplantan, el contacto del empleado con capacidad para hacer operaciones financieras y los dominios fraudulentos envían el mensaje falso.
Pero esta modalidad del fraude del CEO no acaba en un único cobro de la cuenta bancaria que proporcionarían los empleados engañados, ya que continúan solicitando nuevas transferencias hasta que la víctima se de cuenta de ello. Este es el caso de Alicia, empleada de una farmacéutica que fue engañada en 2021 aprovechando la situación con la vacunación del Covid-19, como narra el INCIBE. Alicia realizó varias transferencias de los fondos de la empresa hasta que habló con su CEO sobre una falta de liquidez como consecuencia de estos pagos. Así se percataron del engaño.
El fraude del CEO se actualiza y tiene varias modalidades
El fraude del CEO adopta varias formas y va añadiendo nuevas herramientas para sofisticar su técnica. Aunque la mayoría de casos que hemos podido conocer en Newtral.es buscan datos bancarios u operaciones financieras, a veces tiene objetivos más específicos, como la compra de vales de regalo de una empresa concreta o una suscripción a un servicio de pago.
En cuanto a las actualizaciones del fraude, el INCIBE señala que en 2020 la estafa incluyó el uso de Google Drive en alguno de los casos denunciados y conocidos. El Drive es una herramienta que utilizan muchas empresas y resulta fiable. Esto es precisamente lo que otorga ventaja a los estafadores, quienes consiguen “ocultar enlaces maliciosos y saltarse el filtro antispam del correo electrónico” al utilizar el nombre de Drive. Después de esto solo quedaría superar “la barrera humana”. Así, el empleado recibe una supuesta notificación de Drive en la que su superior le menciona en un comentario de un documento con un nombre relacionado con la estafa.
Actualmente el fraude del CEO no está circulando con ninguna actualización o técnica nueva de engaño, tal y como ha confirmado el INCIBE, pero no se puede concretar todas las formas en las que circula este fraude que suplanta a los directivos de las empresas.
La policía ha detenido a responsables del fraude del CEO, pero la estafa puede seguir activa
La Brigada Central de Investigación Tecnológica de la Policía Nacional (BCIT) ha declarado a Newtral.es que, a pesar de que no pueden cuantificar cuántas denuncias ha habido por el fraude del CEO debido a que se contabilizan los ciberdelitos en general, sin diferenciación, sí han recibido denuncias sobre ello.
En diciembre de 2022, la policía desarticuló a un grupo criminal que desarrollaba el fraude del CEO a nivel nacional e internacional. En esta redada se detuvieron a 15 personas y se descubrió que se habían blanqueado 850.000 euros de transferencias fraudulentas. En marzo de 2023 también se llevaron a cabo detenciones por este fraude, como confirma la policía.
La policía ha declarado que el tuit que han publicado recientemente es a modo recordatorio del peligro que puede suponer la estafa, porque a pesar de las detenciones que se han llevado a cabo no se puede garantizar que no haya otros estafadores que repliquen esta técnica y mantengan activo el fraude del CEO.
En cuanto a qué hacer tras haber caído en un fraude, el primer paso es acudir a la policía a interponer una denuncia. A partir de ahí, “los bancos intentan devolver el dinero con la denuncia de la policía, pero también depende del banco, de los seguros que tenga cada uno y de la cantidad perdida”, explica la BCIT.
Por qué probablemente no se pueda encontrar tu dinero
Las investigaciones de este tipo de ciberdelitos “son muy complicadas”, explica Francisco Andrades, consultor de ciberseguridad en ITS Security, a Newtral.es. Normalmente estas organizaciones funcionan a través de “muleros”, que son personas que se dedican a trasladar el dinero de las víctimas a otra cuenta bancaria, habitualmente fuera de España.
“A veces consigues llegar hasta el mulero, pero esta persona no sabe nada”, cuenta Andrades. A los muleros se les ofrece hacer transferencias a cambio de una comisión, que no deja de ser ilegal, pero suelen desconocer el contexto. “Si detienen a alguien suele ser a él, porque es la pantalla. Es más difícil llegar a la tercera persona”, explica el consultor. El problema es que aquí “te encuentras con una barrera porque solo puedes culpar al mulero de las responsabilidades que tenga él”, añade.
Esta estafa en concreto, el fraude del CEO, es muy común. “Aunque se le ponga ese nombre hay muchos tipos de estafa que siguen esta técnica”, señala Andrades. De hecho, él conoció un caso de una gran empresa, que importaba productos de China, a los que se les estafó 60.000 euros.
“Pero es complicado recuperar el dinero que se pierde”, valora el experto. En este tipo de cosas, normalmente se usan criptodivisas, que son más difíciles de rastrear. “Aunque por ejemplo Bitcoin ofrece cierta trazabilidad, como el número cuenta y la cantidad de dinero, no muestra el propietario, así que si de ahí lo mueven en otro tipo de moneda ya no hay trazabilidad y se pierde, no es reversible ni localizable”, concluye Andrades.
La prevención en este caso se basa principalmente en una doble comprobación con la persona de tu empresa que puede estar siendo suplantada y así se podrán realizar operaciones seguras. El INCIBE además destaca otras señales como la dirección de correo del remitente, las faltas ortográficas o incongruencias gramaticales y el uso de antivirus con archivos adjuntos.
- Instituto Nacional de Ciberseguridad (INCIBE) en declaraciones a Newtral.es
- Brigada Central de Investigación Tecnológica (BCIT) de la Policía Nacional en declaraciones a Newtral.es
- Francisco Andrades, consultor en ciberseguridad, en declaraciones a Newtral.es
- Noticia del Ministerio de Interior sobre la detención de una organización criminal del fraude del CEO en 2022
- Página web del Instituto Nacional de Ciberseguridad (INCIBE) para consultar distintos artículos del fraude del CEO
- Tuit de la Policía Nacional
- Página web del Centro Criptológico Nacional para definir “mulero”
He estado emocionado desde que contacté a Davice_consultant en Instagram, ¡sinceramente me está ayudando! Hace unos meses recibí una propuesta para invertir en una criptomoneda que realmente me interesaba para ganar dinero online, invertí $28.000 en ella y luego descubrí que era un estafador que quería quitarme el dinero. ¡Muchas gracias a la referencia que recomendó Davice_consultant en Instagram y que me ayudó a recuperar mis fondos robados! ¡Recuperé 25.700! ¡Davice es perfecto y ayuda a la gente!