Septiembre de 2019. La jefa de administración de la EMT de Valencia recibe un correo en el que se le solicitaba la transferencia de 4 millones de euros a una cuenta en Hong Kong con el pretexto de cerrar una operación supuestamente secreta. El correo electrónico se envió en nombre del consejero de Movilidad Sostenible, Giuseppe Grezz, desde una cuenta inexistente en el sistema de la EMT. Así, entre el 3 y el 20 de septiembre del año pasado, se realizaron hasta 8 transferencias que culminaron una estafa camuflada bajo la apariencia de un phishing, pero mucho más sofisticada y también, más común de lo que creemos.

Como cada año, el Centro Criptológico Nacional (CCN), adscrito al Centro Nacional de Inteligencia (CNI) ha publicado un informe en el que se presentan los elementos más destacables de las amenazas identificadas durante 2019 y principios de 2020, así como las tendencias futuras más relevantes en el ámbito de la ciberseguridad. Un informe en el que se revela que, durante 2019, la ciberdelincuencia ha tenido como principales acciones dos modalidades de ataque: por un lado, el uso de ransomware para cifrar los discos de las víctimas y solicitar un rescate, especialmente en campañas definidas como Human Operated Ransomware (HOR); y por otro el conocido como fraude del CEO, (BEC, Business E-Mail Compromise). A nivel internacional, las pérdidas anuales generadas por este tipo de ciberamenaza alcanzaron los 1.700 millones de dólares solo en Estados Unidos, según el Informe Delitos en Internet de 2019 del FBI.

Si bien este tipo de fraude suele ir dirigido al consejero delegado de las empresas como su nombre indica, desde el CCN advierten que es cada vez más común dirigirse a empleados de menor nivel dentro de la jerarquía empresarial. Así, es más fácil que se ejecute con éxito la estafa ya que muchos trabajadores no se ven en condiciones de cuestionar un mail firmado, supuestamente, por el CEO en el que se solicita un pago urgente. Sin duda, se trata de una estafa tan compleja como elaborada que quita el sueño tanto al CEO como a la alta dirección.

Cómo se ejecuta

Esta ciberamenaza, muchas veces silenciada entre las empresas por pudor, juega con un factor clave: realizarla en nombre del máximo representante de la compañía a quien, a priori, no se le cuestionan las decisiones. Para ello, los ciberdelincuentes espían a la organización en general y a la alta dirección en particular. Sus mails, sus mensajes, su forma de comunicarse. Todo por tal de conocer en detalle los proyectos, los entresijos de las operaciones propuestas o en curso y, sobre todo, la manera de atacar bajo una apariencia lo más creíble posible. 

Como explican en el informe del CCN, desde el punto de vista delincuencial, el correo electrónico sigue siendo la principal vía de entrada de los atacantes, aunque los mensajes de texto –SMS– también han sido explotados con éxito durante 2019, según el Internet Crime Complaint Center, del FBI estadounidense.10.

Pero la estafa del CEO no es la única que copa la atención de la alta dirección. Los ciberataques, en el térmico amplio de la palabra, se han convertido en un mal sueño para la mayoría de CEOs -y alta dirección-. Así lo constata el reciente informe de la consultora PwC denominado XXIII Encuesta Mundial de CEOs, realizada a 1.581 altos ejecutivos en 83 países. Según este, los ciberataques hacia las organizaciones se han convertido en la segunda mayor preocupación del CEO en España, por detrás de la sobrerregulación. Una inquietud que entre las organizaciones nacionales es mayor (61%) frente a la media global (33%).

Fuente: XXIII Encuesta Mundial de CEOs de PWC

La pandemia del COVID-19 ha constatado la imperante necesidad de apostar por estructuras y sistemas digitales seguros, pero los últimos datos del CCN en particular dejan un mensaje tras de sí: la cibercultura de empresa tiene que implementarse en cascada. Desde la alta dirección hasta el último trabajador de cualquier tipo de compañía, sin importar el tamaño de la misma ni su core business. Solo con cultura digital, conocimiento y herramientas profesionales, ciberamenazas como el fraude del CEO dejarían de ser una pesadilla para la alta dirección.