Últimamente se habla mucho en los medios de un viejo conocido de las estafas por Internet: el fraude del CEO. Se conoce a este tipo de ciberestafas a todas aquellas que tienen como objetivo engañar a empleados que pueden acceder a las cuentas bancarias de una empresa para que paguen una factura falsa o realicen una transferencia mediante una orden que realiza el estafador con llamadas telefónicas o correos electrónicos haciéndose pasar por un alto cargo de la compañía.
El fraude del CEO y cómo prevenirlo
No es más que una burda suplantación de identidad – phishing- pero que hoy en día sigue teniendo vigencia, tal y como ocurrió en la Empresa Municipal de Transportes de Valencia (EMT). Diferentes organismos oficiales tienen publicados informes para evitar y corregir a tiempo este tipo de fraudes como el Instituto Nacional de Ciberseguridad (INCIBE) o la propia Europol, donde exponen diferentes formas para afrontarlos y prevenirlos.
Las medida más importante que debemos tomar es la formación, con píldoras formativas a todo el personal. En segundo lugar fijar un protocolo seguro ante cualquier tipo de instrucción anómala, como puede ser el siguiente:
- No abrir correos sospechosos y no esperados.
- Si hay duda, verificar la dirección del remitente con un simple “Responder” para ver quién es realmente el remitente. Pero no enviar.
- No realizar pagos de facturas no visadas previamente y registradas en el ERP y confirmación telefónica o presencial del responsable ante cualquier duda y dependiendo del importe, y tampoco aceptar firmas digitalizadas.
- Habilitar un medio seguro para actuaciones urgentes por parte de los directivos con alguna clave secreta.
- No aceptar cambios de cuenta corriente para el pago de facturas sólo con un correo. Realizar llamada de comprobación al departamento de administración del cliente para corroborar, aunque esté claro el remitente, el documento firmado electrónicamente.
- No entrar en correos remitidos por bancos solicitando acceso al portal del banco. Los bancos no envían correos electrónicos para comunicar problemas con la cuenta corriente, tarjeta de crédito, ni descubiertos. Si hay duda, llamar al gestor de la cuenta.
Hay que tener en cuenta que determinados ataques requieren horas de estudio de la víctima, estudiando sus noticias, interceptando correos, llamando por teléfono y realizando determinadas preguntas para conocer los nombres y correos de personas clave y muchas más, apremiando a la otra parte con urgencia. Es lo que se conoce como ingeniería social, ante lo que siempre debemos sospechar del interlocutor cuando piden determinada información como claves, petición de acceso remota al ordenador, número de tarjeta de crédito. Todo por escrito para conocer la identidad real, que se identifique la otra parte (nombre y apellidos, DNI, número de teléfono donde localizarlo, email de contacto) para verificar si es todo correcto, aunque juren y perjuren que son el mismo Papa de Roma.
Además de estas cuestiones básicas, los expertos de ciberseguridad de Leader Redes y Comunicaciones aconsejan, en cualquier caso, extremar las medidas de protección informáticas para mantener protegidas a las empresas y todos sus datos sensibles. El primer paso sería la realización de un análisis gratuito de la seguridad de la red para ofrecer la mejor solución, totalmente personalizada para ese negocio en concreto.
Para ello, desde Leader apostamos por plataformas líderes del mercado como FortiNet líder en servicios de seguridad a través de sus dispositivos hardware y software – Firewalls, UTMs, NGFW. En nuestro apartado de soluciones está toda la información sobre todo lo que podemos ofrecer sobre seguridad en la red.
En todo caso, nuestros expertos aconsejan que la mejor prevención siempre es una buena formación y sentido común. No obstante, si necesitas ayuda en este aspecto o quieres afrontar una situación conflictiva y no sabes por dónde empezar, estaremos a tu disposición para ayudarte a optimizar todos los recursos de tu empresa, implantar las medidas de seguridad digital y prestar toda la formación que sea necesaria.