Historias reales: el fraude del CEO
Esta historia real relata el caso de Aurora y Sergio, hermanos y cariñosamente conocidos como Auri y Sergi, titulares y propietarios de una clínica de fisioterapia ubicada en el centro de una conocida localidad cántabra. Muchos fisioterapeutas tienen a su cargo profesionales de las distintas ramas que trabajan, como la fisioterapia deportiva especializada, la neuro-rehabilitación, la terapia ocupacional, la fisioterapia general, la fisioterapia maternal y suelo pélvico e incluso clases de Pilates y corrección postural.
En su clínica tienen una plantilla con 13 trabajadores, 9 fisioterapeutas y 2 administrativos para la gestión de la clínica y ellos dos, que además de propietarios, realizan trabajos de campo. Como directores ejecutivos o CEOs están obligados a asistir a seminarios, congresos y otro tipo de eventos en los que entienden que su marca corporativa debe estar representada. Por último, cuentan con un servicio externalizado, el de limpieza y desinfección de la clínica.
Tanto Auri como Sergi tienen claro que uno de los dos siempre debe de estar en la clínica para supervisar las labores diarias. Únicamente en ocasiones muy excepcionales se han ausentado los dos por motivos de representación. En este caso se dio una de estas ocasiones, Auri asistía a un congreso en Madrid y Sergi debía dar una ponencia en la Federación de Pequeños Empresarios de su localidad.
Casualidad o no, ese día uno de sus administrativos, Alfonso, mientras tomaba su café después de comer, recibió en su dispositivo móvil un correo, supuestamente proveniente de Auri, en el que se pedía premura para la realización de una operación financiera confidencial y muy urgente:
Alfonso, desconocedor de la situación real a la que estaba siendo sometido, respondió rápidamente de forma afirmativa. Dado que Sergi tampoco estaría en la clínica hasta última hora de la tarde, no había ningún motivo por el cual sospechar del correo o intencionalidad para realizar cualquier operación por parte del CEO. Este correo tampoco contaba con errores significativos de redacción que hubieran podido levantar algún tipo de sospecha.
La respuesta por parte de los defraudadores no se hizo esperar. Pero cometieron un error, pedían datos sensibles como el saldo de la cuenta, para la adquisición de una nueva máquina. Esto no concordaba con la estrategia de la clínica ni con las buenas prácticas diarias fruto del trabajo de muchos años.
La clínica no tenía programada esa adquisición de material ya que se contaba con lo último en maquinaria para los tratamientos. Por otro lado, Alfonso no entendía como «operación confidencial» algo que siempre había sido una información compartida por todos en la clínica. Esta forma de tramitar una adquisición se alejaba de lo habitual. Como colofón, mencionaban un «anuncio legal», lo que, junto a la petición de datos bancarios, hizo que Alfonso se diera cuenta de que podía tratarse de un fraude ya que nunca se procedía de esta forma.
Llegados a este punto, Alfonso, a través de una aplicación de mensajería instantánea, contactó con Auri para interesarse de primera mano por esta presunta operación. Auri, al percatarse del engaño, no lo dudó y llamó urgentemente a Alfonso para negarle cualquier tipo de compra o transacción financiera. Alfonso y Auri se dieron cuenta de que su clínica había sido objeto de un intento de robo de información a través de la técnica conocida como phishing. Acordaron analizar profundamente lo ocurrido a fin de transmitir esta experiencia a todos los miembros de la clínica con el objetivo de concienciarlos y evitar futuros ataques.
¿Qué fue realmente lo que pasó?
Alfonso fue víctima de un intento de phishing a través de un engaño conocido como «fraude del CEO».
El principal error que cometió Alfonso fue no verificar la dirección remitente en el primer correo recibido. A pesar de que todo parecía correcto, debería haberla verificado para corroborar que el remitente era legítimo. Gracias a que el contenido del segundo correo recibido no estaba alineado con la dinámica de trabajo de la clínica, Alfonso pudo descubrir el engaño y corroborarlo tras hablar con su CEO, Auri.
Esta verificación evitó facilitar ningún tipo de información confidencial, sensible y bancaria.
¿Cómo llevaron a cabo el engaño?
Este engaño, también conocido como whaling por tratarse de phishing dirigido a «peces gordos», basa su funcionamiento en enviar un correo fraudulento a algún empleado de alto rango, contable o con capacidad de acceso a datos sensibles, información personal o bancaria, haciéndole ver que el remitente es el CEO o máximo mandatario de su organización. Este mensaje suele pedir ayuda para realizar una operación financiera confidencial y urgente.
Si la persona que recibe el correo no se diera cuenta, podría desvelar datos confidenciales o hacer alguna transferencia urgente.
¿Qué hacer para que no nos suceda?
Este tipo de fraudes están basados en técnicas de ingeniería social. La mejor forma de evitarlos es concienciar a los empleados para que los reconozcan y los eliminen.
También es aconsejable implementar procedimientos seguros para realizar pagos, de tal manera que sean necesarias al menos dos personas o dos medios de comunicación distintos, como correo y teléfono, para poder ejecutarlos.
Además, para evitar que nuestro correo electrónico se vea comprometido, por ejemplo si descargáramos un adjunto o pinchamos en un enlace y fuera malicioso, podemos realizar las siguientes acciones:
- tener el sistema operativo y todas las aplicaciones actualizadas para evitar posibles infecciones o intrusiones que afectan a sistemas desactualizados;
- instalar y configurar filtros antispam y un buen antivirus; mantenerlo al día, actualizando el software y las firmas de malware;
- desactivar la vista de correos en html en las cuentas críticas.
Por otro lado, es bueno también seguir este tipo de recomendaciones:
- No abrir correos de usuarios desconocidos o que no haya solicitado: hay que eliminarlos directamente.
- En caso de que el correo proceda de una entidad bancaria legítima, nunca contendrá enlaces a su página de inicio de sesión o documentos adjuntos.
- No contestar en ningún caso a estos correos.
- Tener precaución al seguir enlaces en correos electrónicos, SMS, mensajes en WhatsApp o redes sociales, aunque sean de contactos conocidos.
- Tener precaución al descargar ficheros adjuntos de correos, en SMS, mensajes en WhatsApp o en redes sociales, aunque sean de contactos conocidos.
- Asegurarse de que las cuentas de usuario de los empleados utilizan contraseñas robustas y sin permisos de administrador.
Y no olvides realizar acciones de concienciación en ciberseguridad entre los empleados y establecer políticas en el uso del correo electrónico.
Para saber más sobre cómo proteger todos tus activos ante posibles ciberataques y conocer cuáles son las medidas de seguridad específicas aplicables a tu sector, visualiza los videos de la formación sectorial. No permitas que te engañen: ¡protege tu empresa!