¿Qué es el fraude del CEO?

El fraude del CEO cae dentro de la categoría del phishing, pero en vez de suplantar a una web conocida, al que se suplanta es al director general (CEO) de la empresa, o a otro ejecutivo de alto nivel. Algunos fraudes del CEO usan la ingeniería social, pero la mayoría de los ataques consisten en un compendio de métodos, en vez de uno solo. El objetivo de esta estafa es convencer a un empleado de que le envíe dinero o información confidencial al atacante, como propiedad intelectual o credenciales.

La industria del phishing tiene un valor de miles de millones de dólares, y el fraude del CEO es una estafa con una rentabilidad muy alta. El FBI estima que las estafas de vulneraciones de correo electrónico empresarial (o BEC, del inglés Business Email Compromise) tienen un valor total estimado de 26.000 millones de USD, y se vuelven más populares cada día. Entre el 2018 y el 2019, el FBI también indica que hubo un incremento del 100% en las estafas de BEC, incluyendo la estafa del CEO.

Las empresas seleccionadas para los ataques pueden ser pequeñas, medianas o grandes, pero los dos principales países que se usan para las transferencias fraudulentas son China y Hong Kong. El fraude del CEO opera en empresas en diversos países, pero el FBI ha informado de que ha habido víctimas en 177 países, incluyendo a los EE. UU. y el Reino Unido, y de que se han utilizado bancos de 140 países para estas.

El spoofing de correos electrónicos y el phishing son dos de los principales métodos de ataque en el fraude del CEO, pero la ingeniería social suele incorporarse a la estrategia para lograr una mayor rentabilidad. Las actividades de reconocimiento que usan las páginas web corporativas y LinkedIn les brindan a los atacantes una gran cantidad de información acerca de la organización, los empleados, nombres y direcciones de correo electrónico de los ejecutivos, así como de sistemas de facturación. Por lo general, los correos electrónicos de phishing se enfocan en empleados en departamentos específicos, como RR. HH. y cuentas por pagar.

Por ejemplo, un atacante podría registrar un nombre de dominio casi idéntico al del nombre corporativo oficial, excepto por una letra o símbolo. Después, el atacante envía un correo electrónico usando el nombre del CEO a un empleado de cuentas por pagar para convencer al usuario objetivo de que envíe dinero a la cuenta bancaria controlada por el atacante. Para aumentar el nivel de urgencia, el atacante podría usar la ingeniería social para llamar al empleado objetivo y simular ser un representante de la organización, por ejemplo, un contable.

Un ataque sofisticado podría costarles millones a las organizaciones por concepto de pérdidas financieras. Varias organizaciones han perdido millones a causa de fraude del CEO y del whaling a ejecutivos. Una organización podría perder dinero de diversos ataques en los que se soliciten cantidades pequeñas, pero es más común que los atacantes engañen a los empleados y les convenzan de enviar transferencias de cientos de miles o de millones.

Las pérdidas financieras no son el único impacto. Algunos atacantes que se enfocan en departamentos de RR. HH. convencen a los empleados de que envíen información personal de identificación (PII) a un tercero, que después se usa para fraudes bancarios o robo de identidad. La mayoría de las normativas de cumplimiento obligan a las organizaciones a alertar a los clientes después de una filtración de datos, así que el fraude del CEO podría producir efectos negativos para la reputación de la marca y generar costes judiciales. Los empleados que son víctimas se arriesgan a perder sus empleos, especialmente si la víctima objetivo es otro ejecutivo.

La estafa del CEO se considera un ataque relativamente sofisticado, así que el primer paso es hallar una organización. Un atacante lee la web de la organización objetivo para hallar organigramas y estructuras internas de empleados, incluyendo los nombres de los ejecutivos y empleados asociados. La fase de reconocimiento puede durar varios días hasta que el atacante recopile suficiente información como para llevar a cabo los siguientes pasos.

Cuando se determina un objetivo, el siguiente paso es registrar un dominio cuyo nombre se parezca al del dominio oficial del objetivo. Una vez registrado el dominio, el atacante crea una dirección de correo electrónico con el nombre del director general o de otro ejecutivo de alto nivel. Se envía un correo electrónico al usuario objetivo para iniciar el contacto y se le indica al usuario que envíe dinero.

La mayoría de los empleados de los departamentos de RR. HH. y de finanzas están entrenados para identificar correos electrónicos de phishing, pero los atacantes usan métodos muy convincentes para transmitir una sensación de urgencia de un ejecutivo de alto nivel. Un empleado puede notar el error ortográfico en el nombre del dominio, o convertirse en víctima y transferir el dinero o responder con información delicada.

Los atacantes tienen dos objetivos clave para el fraude del CEO: ejecutivos de alto nivel con acceso a información delicada, o empleados con autorización para ejecutar transferencias bancarias. Un director general (CEO), director de finanzas (CFO), director operativo (COO) u otros ejecutivos de alto nivel suelen ser los objetivos de preferencia, pero cualquier ejecutivo con autoridad operativa debería tener presentes las muchas maneras en que los atacantes usan el phishing y la ingeniería social.

En ciberseguridad, enfocarse en un empleado cercano a la víctima objetivo es más eficaz. Los atacantes saben que los ejecutivos de alto nivel se capacitan para detectar amenazas tales como el phishing, así que se enfocan en un empleado que tenga mayor probabilidad de caer víctima de la ingeniería social. El empleado podría tener los suficientes privilegios como para hacer transferencias bancarias de dinero, o el atacante podría robarse las credenciales del empleado para después ejecutar un escalado de privilegios en el entorno.

El principal truco para cualquier ataque de phishing es crear una sensación de urgencia. Si a la víctima se le da demasiado tiempo para pensar acerca de lo que está ocurriendo, es posible que se dé cuenta de que es una estafa. El atacante usará una dirección de correo electrónico suplantada o creará una dirección legítima que se parezca a la oficial. A causa de la sensación de urgencia, el usuario objetivo podría obviar las señales de alerta.

Ningún otro componente es tan eficaz como aprovecharse del miedo del usuario objetivo, que funciona bien cuando el usuario piensa que quien le está pidiendo dinero es el CEO. El correo electrónico no suele estar bien escrito, pero la sensación de urgencia hace que las víctimas pasen por alto esos detalles. Siempre implican estafarle dinero o información delicada a la víctima.

Si la organización tiene un equipo de seguridad en su plantilla, el primer paso es reportarlo al encargado de ciberseguridad. Sin un equipo de ciberseguridad dedicado, la víctima objetivo puede reportarlo al personal operativo. El correo electrónico se puede revisar y los futuros correos electrónicos se pueden bloquear para que no alcancen al destinatario objetivo. El personal operativo de ciberseguridad debe alertar a los demás empleados para que estén conscientes de la amenaza.

Si una organización tiene problemas persistentes o envía dinero a un atacante, se debe contactar de inmediato al banco. En algunos casos, los bancos pueden ayudar a la organización a recuperar parcial o totalmente los fondos. También debe contactarse a las autoridades para las investigaciones pertinentes y para cumplir los requisitos de las aseguradoras.

El fraude del CEO afecta tanto a empresas grandes como pequeñas, pero las organizaciones de mayor tamaño pueden llegar a perder millones con tan solo un ataque que tenga éxito. Por ejemplo, el CFO (director de finanzas) de Xoom fue víctima y transfirió 30 millones de USD a cuentas bancarias en el extranjero antes de darse cuenta de que era una estafa. Eventualmente le hicieron renunciar.

Otra empresa de San Francisco, Ubiquiti, fue víctima de una estafa del CEO y transfirieron 46 millones de USD a cuentas extraterritoriales de los atacantes. En este ataque, Ubiquiti pudo trabajar con los bancos y las autoridades para recuperar aproximadamente 10 millones, pero sus pérdidas netas se cifraron en 30 millones de dólares a causa del fraude.

La ciberseguridad es un sector que representa miles de millones de dólares para los atacantes, pero las organizaciones y su personal pueden tomar diversos pasos para evitarlos:

• Auditar a los usuarios de alto riesgo (por ejemplo, personal de finanzas y RR. HH.) y capacitarlos para identificar ataques y reportarlos.
• Implementar controles de acceso y de ciberseguridad que ayuden a detener los correos electrónicos malintencionados (como filtros de correo electrónico y DMARC).
• Usar políticas de seguridad basadas en correos electrónicos sencillos para bloquear correos electrónicos y transferencias bancarias.
• Incorporar estándares financieros y de ciberseguridad para atajar ataques en curso.
• Planificar para la gestión del riesgo y capacitar continuamente a los empleados tanto actuales como de nueva incorporación.
• Enviar correos electrónicos (simulados) de ingeniería social y de phishing para capacitar a sus empleados.
• Permanecer siempre atento y estar al día con las señales de alerta típicas en el fraude del CEO.

Saber cómo protegerse del fraude del CEO es un trabajo a tiempo completo, pero Proofpoint puede ayudar a cualquier organización a protegerse del phishing y la ingeniería social que usan estos ataques. Aquí le indicamos algunas maneras en que Proofpoint puede ayudarle.

• Protección avanzada contra vulneraciones de correo electrónico empresarial (BEC): El aprendizaje automático integrado y la inteligencia artificial detectan y detienen a los fraudes por correo electrónico de manera más eficaz que la seguridad común para correo electrónico. Las funcionalidades de seguridad para correo electrónico de Proofpoint también agregan DMARC a su tecnología de correo electrónico entrante y saliente. La plataforma les brinda a los administradores una visibilidad total hacia el correo electrónico de la organización, para que puedan detectar y revisar las amenazas.
• Capacitación para conciencia de seguridad: Los errores humanos son la causa de las filtraciones de datos a raíz de ataques de phishing, pero es posible capacitar a los empleados para que no sean la próxima víctima. Proofpoint usa ejemplos del mundo real para capacitar a los empleados y ayuda a la organización a reducir el riesgo y a identificar potenciales oportunidades de capacitación para el personal.
• Seguridad y protección para correo electrónico: Los mensajes malintencionados y el malware también son amenazas de correo electrónico, pero la seguridad para correo electrónico de Proofpoint detecta y detiene a estas amenazas usando una avanzada tecnología de aprendizaje automático llamada NexusAI. La seguridad para correo electrónico de Proofpoint analiza encabezados de los mensajes, IP del remitente y texto del cuerpo del mensaje para identificar y detener mensajes malintencionados.