Timo del CEO: el ciberataque con el que se roban millones haciendo una sola llamada
La ingeniería social, o la capacidad de llamar la atención de la gente con mensajes impactantes, es una de las herramientas más empleadas por los grupos de amenazas para lanzar ciberataques. Y es que, si uno recibe un correo electrónico en el que se le dice que debe un recibo del teléfono, o que Hacienda le va a dar dinero, lo normal es que, como mínimo, se detenga un rato a pensar si la comunicación es veraz. Lo mismo se podría decir de un mensaje en el que, supuestamente, su jefe del trabajo le solicita información o dinero.
El timo del CEO, que es como se conoce a las acciones en las que los ciberdelincuentes suplantan al ejecutivo de turno para conseguir que un empleado haga lo que desee, lleva causando problemas a las compañías desde hace años. A finales de 2019, este «truco» sirvió para robarle cuatro millones de euros a la EMT de Valencia. Asimismo, durante los últimos meses, se han dado casos en los que los atacantes han aprovechado la crisis sanitaria para sacarle partido a la técnica. De hecho, recientemente se ha sabido que el grupo farmacéutico Zendal, que iba a desarrollar una vacuna contra el virus en sus instalaciones de Galicia, ha sufrido una perdida de 9 millones de euros por su culpa.
«Lo que popularmente se conoce como “el timo del CEO”, técnicamente se denomina Business Email Compromise (BEC) y es una técnica de ataque que va en aumento. Son ataques altamente personalizados y de gran impacto. Estas estafas explotan el hecho de que cada vez más organizaciones dependen del correo electrónico para hacer negocios, tanto personales como profesionales, y es uno de los delitos «online» más perjudiciales desde el punto de vista financiero. Según el Internet Crime Report del FBI de 2019, los ataques BEC fueron el quinto tipo más común de ciberataque, pero en cuanto a las pérdidas, los ataques BEC representaron más de la mitad de todas las pérdidas por cibercrimen.
Y es que, este tipo de ataque no solo es capaz de proporcionarle al cibercriminal un gran rédito económico.Tampoco es necesario dedicarle demasiados esfuerzos. «Hacerse pasar por un ejecutivo para cambiar métodos de pago, o solicitar que se realicen transacciones electronicas de un proveedor, es muy sencillo. Por ejemplo, si el ciberdelincuente sabe que una compañía tiene un proyecto que se va a pagar, solo necesita hacerse pasar por un ejecutivo de la compañía y hablar con la persona para que haga los cambios necesarios. Si se hace pasar por alguien importante es fácil que lo consigue», le dice a ABC Eusebio Nieva, director técnico de la empresa de ciberseguridad Check Point en España y Portugal.
Muchas opciones
Nieva resalta que este tipo de estafas pueden desarrollarse de varias formas. El criminal solo necesita tener un conocimiento relativo sobre la empresa y los objetivos para que las posibilidades de éxito se disparen: «Lo que hacen antes de realizar el ataque es poner en vigilancia a la compañía. La estudian bien. A veces se infiltran mediante una infección con código malicioso y otras ni siquiera es necesario. Cuando cuadran dos o tres cosas no necesitan mucho más. También hay que tener en cuenta que un director ejecutivo, o de cuentas, no conoce a todas las personas de la empresa. Lo mismo ocurre con el empleado que tiene capacidad para dirigir los fondos que el ciberdelincuente quiere». Y es precisamente ahí donde reside uno de los principales peligros para la empresa atacada.
Existen casos en los que el cibercriminal comienza el engaño mediante un correo electrónico en el que se hace pasar por un directivo para solicitar un ingreso o un movimiento extraño. Esto, de primeras, podría hacer hacer sospechar al empleado de turno si ve que no lo hace desde el corporativo. Pero, ¿y si es el mismo directivo el que llama por teléfono y pide directamente que se realice la operación? Esos casos se han dado. Lo único que necesita el delincuente es saber el nombre del empleado correcto y su número de teléfono. Incluso si el afectado solicita que le realice la petición por escrito, el criminal podría echar balones fuera diciendo que la va a realizar desde su cuenta de correo personal porque la de la compañía le da problemas.
«Estas acciones suelen contener un denominador común: una solicitud de una acción. Puede ser una solicitud de transferencia, una solicitud de alguna información de carácter confidencial u otra cosa. En definitiva debemos sospechar de cualquier solicitud que denote un posible impacto en la actividad de la compañía ya sea económico o reputacional», explica a este medio José de la Cruz, director técnico de la empresa de ciberseguridad Trend Micro en España y Portugal.
Desconfía y pónselo difícil
Si se quiere evitar que ataques de este tipo tengan éxito, lo mejor que puede hacer una empresa, según Eusebio Nieva, es implantar unos protocolos de autentificación de órdenes más rigurosos. Eso pasa, por ejemplo, por que cuando se solicita una transacción de una cantidad elevada de dinero, quien lo pide tenga que seguir un procedimiento concreto y aportar algún tipo de clave robusta que solo esté a su disposición. Y es que no todos los riesgos a los que está sometida una empresa tienen por qué estar directamente relacionados con virus informáticos. El simple engaño, en muchos casos, puede ser un arma más poderosa.
«Para evitar estas situaciones hay que prestar atención a la formación, la concienciación y la evaluación continua. Estos 3 simples pasos son los que habilitarán al usuario como una barrera más de protección frente a este tipo de ataques. Adicionalmente es recomendable implementar tecnologías de detección de los mismos. Estas tecnologías deberán basarse en métodos avanzados como machine learning que analicen el estilo de escritura del mensaje, identifiquen determinadas solicitudes y sea capaz de discriminar correos legítimos de maliciosos», apunta el director técnico de Trend Micro.
Precisamente en esa misma línea, la de la concienciación y la previsión, se mueven las recomendaciones de Josu Franco: «Lo más seguro siempre es que cuando se detecte el menor indicio de que algo no es lo normal, realicemos una llamada telefónica o utilicemos otra vía para comprobar. Es como aplicar la autenticación de doble factor para verificar ciertas cosas. Comprobar nunca está demás. Hay que tomar distancia y ser muy críticos con lo que se recibe, especialmente cuando estamos ante situaciones extrañas o anómalas. No debemos dejarnos llevar por la urgencia a la que se nos está instando en el mensaje del correo».
El asesor en estrategia y tecnología de Panda Security también hace hincapié, a su vez, en que este tipo de ciberataque no va a perder fuelle en 2021: «Se trata de una técnica que está creciendo, no olvidemos que los atacantes pescan a río revuelto. La situación es muy probable que evolucione a peor porque los engaños cada vez son más sofisticados (ha habido ya ataques de este tipo basados en voz, lo que complica más su identificación). No debemos olvidar nunca que una de las principales motivaciones para los ciberdelincuentes a la hora de llevar a cabo estas acciones es que son ataques muy lucrativos, y ellos siempre buscan el beneficio económico».