Seguritecnia 493

/ Enero-Febrero 2022 196 Opinión H oy en día, resulta extraño encontrar a alguien que no conozca todavía qué es y en qué consiste la conocida como “estafa del CEO”; o, al menos, que le suene o haya escucha- do hablar sobre ella. Tal como su nom- bre indica, esta estafa digital busca su- plantar al consejero delegado de una organización o CEO (siglas que provie- nen del inglés Chief Executive Officer ), con el fin de engañar a un empleado para que realice un pago en nombre de la empresa. Este tipo de fraudes suele así tener como víctima habitual a los departamentos financieros y a las áreas de tesorería de las distintas cor- poraciones. Por ello, bajo el contexto de una im- portante operación para la empresa, el supuesto CEO le solicitará al empleado seleccionado que realice un pago a la cuenta bancaria que este le facilita. De igual modo, se le pedirá al trabajador que, en todo momento, trate esta ac- ción con estricta confidencialidad y que no comparta ningún detalle con nadie. En definitiva, el objetivo último de todo ello será derivar una elevada cuantía económica a la cuenta banca- ria gestionada por el actor malicioso, la cual normalmente estará alojada en una entidad bancaria opaca de algún país de fuera de la Unión Europea o con el que no existen ciertos acuerdos. Esto último, por cuestiones claramen- te jurídicas en materia competencial del derecho internacional, dificultará posteriormente la investigación del in- cidente y la recuperación de los fondos sustraídos. Ingeniería social Por desgracia para las organizaciones, en esta constante carrera del gato y el ratón, los cibercriminales van siempre un paso por delante y modifican sus técnicas empleadas en cuanto perciben que estas han dejado de ser efectivas. En el caso de las estafas y los fraudes digitales que emplean la ingeniería so- cial, esto pasa a diario. Un claro ejem- plo de ello lo tenemos en las actuales campañas de phishing , que utilizan nuevos canales para captar la atención de la víctima y obtener así una mayor tasa de éxito: llamadas telefónicas ( vis- hing ), uso de mensajes SMS ( smishing ) o correos electrónicos cada vez más so- fisticados y dirigidos ( spear phishing ). De este modo, la estafa del CEO tam- bién ha dado paso a otro tipo de téc- nicas que presentan todavía un rasgo común: la suplantación por correo elec- trónico como eje principal sobre el que se articula toda la estafa. En tendencia al alza, hay que presen- tar aquí aquellas estafas corporativas que buscan suplantar a los proveedo- res de la organización; en este caso, el objetivo prioritario del fraude vendrá a ser modificar el método de pago de fac- turas pendientes. Suplantación de proveedores En el ámbito corporativo, las estafas que buscan suplantar a alguno de los proveedores de la organización dan un paso más allá; de este modo, no se li- mitan al uso de la ingeniería social y se requiere como necesario que se com- prometa previamente el correo de algu- no de los empleados implicados. La estafa o fraude comienza así por un incidente de seguridad, normalmen- te facilitado por la exposición en la Dark Web de correos electrónicos corporati- vos y credenciales filtrados en alguna fuga de información previa, que permi- te al actor malicioso acceder a correos ‘Mail spoofing’: amenazas cada vez más dirigidas S ergio G utiérrez R esponsable de C iberinteligencia de Z erolynx G onzalo T erciado C onsultor senior de C iberinteligencia de Z erolynx