Definición de fraude del director general
El fraude del director general es un tipo de ciberdelito en el que los atacantes se hacen pasar por los ejecutivos de una empresa para engañar a un empleado y conseguir que envíe transferencias no autorizadas o divulgue información confidencial. El FBI informa de que, entre 2016 y 2019, el fraude de CEO (también conocido como Business Email compromise, o BEC) provocó pérdidas de 26.000 millones de dólares a empresas de todo el mundo[i].
¿Cómo funciona la suplantación de identidad del CEO?
El fraude del CEO es una forma muy selectiva de spear-phishing en la que los atacantes investigan en línea a las víctimas potenciales y sus empresas, aprendiendo todo lo que pueden del sitio web de la organización, así como información de sitios de medios sociales como LinkedIn, Facebook y Twitter. Los objetivos suelen ser funcionarios de nivel medio del departamento financiero, de cuentas por pagar o de recursos humanos. Los atacantes elaboran un correo electrónico de aspecto muy realista que parece proceder del director general de la empresa o de otro ejecutivo de alto nivel y utilizan información aprendida sobre el objetivo para que el correo electrónico parezca auténtico. El correo electrónico insta al destinatario a tomar medidas inmediatas para transferir dinero a una cuenta específica, proporcionar información confidencial, como datos sobre nóminas o impuestos, o compartir credenciales que pueden proporcionar a los atacantes acceso a los sistemas corporativos. Dado que estos ataques fraudulentos a los directores generales hacen hincapié en la urgencia, el secreto y/o la confidencialidad, los empleados suelen inclinarse a actuar sin comprobar dos o tres veces si la solicitud es legítima.
Aumentan las estafas por correo electrónico de phishing contra directores ejecutivos
El fraude de los directores generales, un nuevo tipo de amenaza para la seguridad del correo electrónico corporativo, ha aumentado considerablemente en los últimos meses. También conocidas como phishing de ballena, las estafas por correo electrónico de fraude a directores ejecutivos suplantan la identidad de personas con acceso a información financiera u otros datos confidenciales para que realicen transferencias bancarias o divulguen números de cuentas bancarias, información de tarjetas de crédito, contraseñas y otros datos muy valiosos a través del correo electrónico. Estas estafas de fraude a directores generales suelen tener como objetivo o hacerse pasar por directores generales o directores financieros, u otros ejecutivos de nivel C.
El FBI informa de que los casos de fraude contra directores ejecutivos y ataques de ballenas aumentaron en 270% entre enero y agosto de 2015, y que las pérdidas debidas a estas estafas superaron los 1.200 millones de dólares en poco más de dos años1. A medida que las organizaciones buscan formas de prevenir el fraude de los directores ejecutivos, muchas empresas recurren a las soluciones de seguridad del correo electrónico de Mimecast.
¿Cómo reconocer un ataque de fraude contra un director general?
El fraude de los directores generales es mucho más difícil de reconocer que los correos electrónicos comunes de phishing que se envían a cientos o miles de destinatarios. La solicitud puede incluso proceder de una dirección de correo electrónico legítima que ha sido pirateada por atacantes. Sin embargo, hay varios rasgos distintivos del fraude de los directores generales a los que todos los empleados deben prestar atención.
- Solicitudes para transferir dinero o compartir información sensible. Toda solicitud de este tipo debe ser vista con escepticismo por los empleados, a los que se debe instruir para que tomen medidas para verificar la autenticidad de las solicitudes antes de cumplirlas.
- Un tono urgente o amenazador. Los ataques fraudulentos de los directores generales están diseñados para animar a los empleados a actuar con rapidez y sin cuestionar sus acciones.
- Solicitudes realizadas por ejecutivos que dicen no estar disponibles durante un periodo de tiempo. Los atacantes suelen sugerir que el remitente del correo electrónico no está disponible para comunicaciones que podrían corroborar la solicitud.
- Lenguaje que solicite secreto o confidencialidad. Con ello se pretende evitar que los empleados comprueben con otros colegas o con sus superiores inmediatos la legitimidad de la solicitud.
- Números de cuenta inusuales. Los correos electrónicos fraudulentos de los directores ejecutivos pueden solicitar transferencias a cuentas bancarias o de proveedores diferentes de aquellas a las que se suele transferir el dinero.
- Desajustes en la dirección de correo electrónico del remitente o en las direcciones URL dentro del correo electrónico. Los atacantes pueden utilizar direcciones de correo electrónico y enlaces que son ligeras variaciones de direcciones de correo electrónico y sitios web, diseñados para pasar desapercibidos a los destinatarios que tienen prisa por cumplir con la petición del remitente.
Prevención del fraude de los directores generales con Mimecast
Mimecast proporciona servicios en la nube de seguridad, archivado y continuidad que protegen el correo electrónico empresarial y ofrecen una gestión integral de los riesgos del correo electrónico en un único servicio de suscripción. Mimecast Targeted Threat Protection con Impersonation Protect ofrece defensas muy eficaces para combatir el fraude de los directores generales, mejorar la seguridad de los balleneros. Impersonation Protect analiza el correo electrónico entrante en busca de indicadores clave que sugieran que el mensaje puede formar parte de un intento de fraude contra un director general. Entre ellas se incluyen:
- El nombre para mostrar, o nombre amistoso, que puede revelar que un atacante está intentando falsificar una dirección de correo electrónico interna.
- El nombre de dominio del remitente. Los atacantes suelen utilizar un nombre de dominio muy similar al del destinatario, con pequeñas diferencias que pueden pasar desapercibidas de inmediato.
- La fecha de registro del nombre de dominio remitente. Los dominios recién registrados se utilizan a menudo en los fraudes de CEO y pueden indicar que el mensaje es sospechoso.
- Ciertas palabras como "transferencia bancaria" o "giro telegráfico" en el cuerpo del mensaje que pueden indicar que el mensaje forma parte de un ataque.
Consulte nuestro blog para conocer las últimas tendencias en ciberseguridad.
Características de la solución de Mimecast para el fraude de los directores generales
La protección contra la suplantación de identidad de Mimecast ayuda a evitar el fraude de los directores generales:
- Protección en tiempo real contra los ataques de ingeniería social que no utilizan tácticas típicas como el malware, las URL maliciosas y los archivos adjuntos armados.
- Control total sobre el tratamiento de los mensajes sospechosos. Los mensajes pueden ser rebotados, puestos en cuarentena o etiquetados como sospechosos para alertar a los usuarios de la posibilidad de un intento de fraude.
- Protección integral de la infraestructura de inteligencia de amenazas y los equipos de seguridad de mensajería de Mimecast.
Obtenga más información sobre cómo prevenir el fraude de los directores generales con Mimecast y sobre la protección contra malware, la herramienta de detección de spam y la solución para transferir archivos de gran tamaño de forma segura de Mimecast.
Preguntas frecuentes sobre el fraude a los directores generales
¿Cuáles son los métodos más comunes de un ataque de fraude contra un director general?
Los métodos más comunes utilizados en los ataques de fraude contra directores generales son:
Phishing - Los estafadores envían correos electrónicos que parecen proceder del director general de una empresa o de otro alto ejecutivo. Estos correos suelen solicitar información confidencial, como credenciales de inicio de sesión o datos financieros.
Spoofing - Los estafadores imitan la dirección de correo electrónico de un director general y envían mensajes que parecen proceder de ellos. De nuevo, estos mensajes solicitarán a menudo información sensible.
Ingeniería social - Los estafadores intentan engañar a la gente para que les facilite información confidencial haciéndose pasar por alguien que no son. Por ejemplo, pueden llamar a un empleado y hacerse pasar por el director general para obtener los datos de acceso.
¿Quién corre mayor riesgo de ser el objetivo de un ataque de fraude contra un director general?
No existe una respuesta definitiva a esta pregunta, ya que los ataques fraudulentos de los directores generales pueden dirigirse a cualquier persona que disponga de una cuenta de correo electrónico. Sin embargo, ciertos grupos de personas pueden correr un riesgo mayor debido a su puesto de trabajo o al tipo de empresa para la que trabajan.
Por ejemplo, los empleados que trabajan en finanzas o contabilidad suelen ser el objetivo de los defraudadores CEO, ya que tienen acceso a información sensible que puede utilizarse para cometer fraudes.
Del mismo modo, los empleados de grandes empresas u organizaciones también suelen ser objetivo de los estafadores, ya que los directores generales saben que estas empresas suelen disponer de más dinero y recursos que pueden explotar.
En última instancia, el fraude de los directores generales puede tener como objetivo a cualquiera, por lo que es importante que todo el mundo sea consciente de los riesgos y tome medidas para protegerse. Algunas medidas sencillas que puede tomar para protegerse:
- Sospechar de los correos electrónicos no solicitados.
- No haga clic en enlaces o archivos adjuntos de fuentes desconocidas.
- Verifique las solicitudes de información o dinero antes de responder.
¿Cómo pueden las empresas prevenir el fraude de los directores generales?
Prevenir eficazmente el fraude de los directores ejecutivos requiere múltiples capas de protección que pueden incluir:
- Formación de concienciación sobre seguridad que eduque a los empleados sobre los posibles signos de fraude de los directores generales y otros tipos de ciberataques.
- Políticas y procedimientos en toda la empresa que requieren múltiples niveles de autorización o documentación adecuada (incluidas órdenes de compra) y/o aprobación verbal antes de que se pueda transferir dinero o compartir información sensible.
- Tecnología de seguridad del correo electrónico que puede escanear y filtrar correos electrónicos en tiempo real para impedir que los usuarios abran archivos adjuntos sospechosos o hagan clic en enlaces que puedan ser maliciosos.
- Software contra la suplantación de identidad que puede identificar posibles ataques fraudulentos contra directores ejecutivos escaneando el encabezado y el contenido del correo electrónico en busca de los signos de las técnicas de ingeniería social sin malware que suelen utilizarse en estos ataques.
- Servicios de autenticación DNS que utilizan DMARC, DKIM y SPF para determinar la legitimidad de los correos electrónicos.
- Programas antimalware y antispam que pueden detener determinados correos electrónicos en la pasarela de correo electrónico.
¿Cómo denunciar el fraude de los directores generales?
Los intentos o el éxito de los ataques de fraude contra los directores ejecutivos deben comunicarse inmediatamente al departamento de TI de la empresa, a los altos cargos (incluida la persona cuya identidad se suplantó) y al banco desde el que se transfirieron los fondos.
Los ataques también deben notificarse a los organismos gubernamentales que trabajan para detener la ciberdelincuencia, como la Agencia de Ciberseguridad y Seguridad de las Infraestructuras(phishing-report@us-cert.gov), la Comisión Federal de Comercio(www.ftc.gov/complaint) y el Grupo de Trabajo Antiphishing(https://apwg.org/reportphishing).
