Historias reales: suplantaron a mi jefe y nuestro dinero desapareció
La proximidad a las vacunas contra el COVID-19 ha hecho que el trabajo en la empresa farmacéutica donde trabaja Alicia se haya intensificado sensiblemente. Son muchas las horas extra, reuniones, documentación, etc., que han tenido que llevar a cabo todos los empleados. Alicia, responsable del equipo financiero de la empresa, y su equipo estaban habituados a recibir órdenes de los directivos mediante correo electrónico y otros sistemas internos, ya que las reuniones con clientes y proveedores los habían obligado a ausentarse de la sede.
Un día Alicia recibió un correo de su CEO, en el que le informaba de que estaba cerrando una importantísima operación crucial para la empresa, ya que de esta dependía la elaboración de una de las vacunas para el COVID-19. En dicho correo, el CEO informaba a Alicia también de que recibiría las órdenes de pago de una empresa auditora vinculada con el proveedor y que mantuviera la operación de forma confidencial. A Alicia no le sorprendió el correo, ya que era costumbre en los últimos meses recibir las órdenes por esta vía. Además, el hecho de que la instara a mantener la confidencialidad no era de extrañar porque las grandes operaciones son muy sensibles y cualquier error puede llevarlas al traste. Alicia respondió al correo diciéndole a su CEO que contara con ella y que mantendría el secreto.
Al día siguiente Alicia, en efecto, recibió un correo proveniente de una empresa auditora reconocida a nivel mundial, en el que se le solicitaba el pago de una importante cantidad de dinero. Para ello, se facilitaba adjunta al correo la orden de pago con toda la información necesaria. Puesto que Alicia ya había recibido por parte de su CEO la orden de que ejecutara la operación, no lo dudó, contactó con su entidad bancaria y ordenó hacer la transferencia de la cantidad indicada al número de cuenta facilitado. Una vez hecho, Alicia respondió al correo de la empresa auditora, facilitando el comprobante de la transferencia, y poco tiempo después recibió el comprobante de la operación.
Durante los siguientes días Alicia recibió nuevas facturas de la empresa auditora por importes similares a la primera operación, por lo que realizó las transferencias oportunas, recibiendo por cada una de ellas la factura correspondiente.
Después de la última transferencia Alicia decidió ponerse en contacto con el CEO de la compañía, indicándole que, debido a las últimas transferencias realizadas en relación a la operación confidencial que le ordenó la empresa, estaba quedándose sin liquidez para abordar otras operaciones necesarias. El CEO extrañado le indicó que él no había ordenado ninguna nueva operación confidencial. En ese instante ambos se dieron cuenta de que habían sido víctimas de un fraude.
¿Cómo se urdió la trama fraudulenta?
Los ciberdelincuentes son conscientes de que las empresas pertenecientes al sector farmacéutico están viviendo una época de gran volumen de trabajo, debido a la urgencia por elaborar las vacunas contra el COVID-19. Por este motivo, son un objetivo potencialmente muy rentable para las organizaciones delictivas.
Los ciberdelincuentes comenzaron analizando la web corporativa y todas las redes sociales asociadas a la empresa, con el objetivo de elaborar un organigrama lo más detallado posible de los miembros de la organización. Analizando los sistemas pertenecientes a la compañía descubrieron varias direcciones de correo electrónico de sus empleados. Teniendo esta información no les resultó complicado conseguir el correo de Alicia, la responsable del equipo financiero, tal y como figuraba en su perfil de LinkedIn, ya que todos los correos de los empleados estaban formados por «nombre.apellido@compañia.com».
El siguiente paso consistía en contactar con un empleado de la compañía alegando cualquier excusa, como solicitar información sobre algún producto o servicio, cuyo objetivo era obtener un correo legítimo de la empresa para tomarlo como plantilla para lanzar el ciberataque. De esta forma, obtendrían la firma del correo y cualquier otro elemento distintivo que dotaría de más veracidad a la comunicación fraudulenta.
El siguiente paso consistía en comprar un nombre de dominio similar al legítimo de la empresa, técnica conocida como cybersquatting. Suponiendo que el dominio de la empresa es «farmacia.com», los ciberdelincuentes compraron el nombre de dominio «farnacia.com». Esta misma técnica la utilizaron para comprar un nombre de dominio parecido al de la empresa auditora.
Una vez obtenida la estética del correo, la identidad del alto directivo al que suplantarían, el empleado con capacidad para llevar a cabo operaciones financieras y los nombres de dominios fraudulentos, llega el momento de lanzar la campaña fraudulenta. Los ciberdelincuentes, utilizando la estética del correo obtenida anteriormente y el dominio fraudulento que suplanta al de la compañía, junto con el nombre y apellido del directivo, enviaron un correo a Alicia, responsable del área financiera. Una de las principales características de este tipo de fraudes es que piden a su destinatario que mantenga la confidencialidad y no se lo comunique a ningún otro empleado.
El siguiente paso consiste en suplantar a la empresa auditora y valerse de su reputación para solicitar el pago. Para ello, utilizan, igual que para suplantar al alto directivo, la estética legítima, tanto para el correo como para las facturas. Una vez que han recibido la primera transferencia fraudulenta, seguirán solicitando nuevas transferencias hasta que su destinatario se dé cuenta del engaño.
¿Cómo identificar un ataque de fraude del CEO?
El ciberataque sufrido por la empresa de Alicia se denomina fraude del CEO o whaling. En este tipo de ataques los ciberdelincuentes suplantan a un alto directivo de una compañía y, valiéndose de la confianza de sus empleados, les fuerza a realizar transferencias bancarias. Para identificar este tipo de ataques es recomendable seguir las siguientes pautas:
- Verificar las peticiones de envío de fondos por un canal alternativo. La vía más eficaz para evitar este tipo de fraudes es verificar la solicitud por un canal alternativo, como puede ser una llamada telefónica, un mensaje instantáneo o cualquier otra herramienta colaborativa.
- Comprobar la dirección del remitente. Es clave verificar que la dirección del remitente es correcta, ya que los ciberdelincuentes utilizan nombres de dominio parecidos al legítimo. El cambio de una sola letra es suficiente para que el nombre de dominio sea distinto y pueda engañar a las potenciales víctimas. Una forma de protección activa frente a este tipo de suplantaciones consiste en monitorizar regularmente los nombres de dominio comprados que sean parecidos al de la empresa, tal y como se indica en el siguiente artículo:
- Comprobar la forma de expresión y ortografía del mensaje. Cuando se trata habitualmente por correo con alguien, se aprende a distinguir expresiones, frases hechas, despedidas, etc. de la persona en particular. La ausencia de estas no tiene por qué significar que el mensaje sea fraudulento, pero es un síntoma que no debe pasarse por alto.
- Firmas y estética del correo. Comprobar que la estética del correo es la adecuada también servirá para distinguir correos legítimos de aquellos que pueden ser fraudulentos. Se debe comprobar el tipo de letra, imágenes, logotipos, firmas, direcciones de correo o puesto en la empresa, así como cualquier otro elemento que siempre se mantenga igual en las comunicaciones.
Precaución con los enlaces y archivos adjuntos . Como ante cualquier mensaje con enlaces o ficheros adjuntos, se debe tener precaución, ya que estos pueden dirigir a sitios web fraudulentos que contienen malware. Los archivos adjuntos o descargados de webs externas deben verificarse con una herramienta antivirus antes de ejecutarse, y ante la menor duda, es conveniente preguntar al remitente, utilizando una vía alternativa. Lo mismo sucede con los enlaces a páginas web externas, se debe verificar que no sean fraudulentos. Para ello, se pueden utilizar herramientas en línea como VirusTotal o MetaDefender, y en caso de duda, habrá que preguntar al remitente.
Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017) o mediante el formulario de contacto que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto o duda relacionada con el uso de la tecnología e Internet.