Imagina que recibes un email urgente del director general de tu empresa (el CEO) pidiéndote que realices inmediatamente una transferencia bancaria confidencial y advirtiéndote de graves consecuencias si te retrasas. Cumples la orden rápidamente, pero poco después descubres que tu jefe nunca envió este mensaje. Es un caso que se repite en empresas de todo el mundo y que les acarrea un costo millonario.

Las tácticas de suplantación de identidad son cada vez más convincentes, por lo que es más importante que nunca identificar las señales de alerta y saber cómo se desarrollan estos fraudes. En este artículo, descubrirás quiénes son las víctimas más habituales de los fraudes del CEO, cómo reconocer las señales de alerta y cómo proteger tu empresa frente a esta ciberamenaza.

¿Qué es el fraude del CEO?

El fraude del CEO es una modalidad de spear phishing (o phishing selectivo) en la que los ciberdelincuentes envían un email personalizado suplantando la identidad del director general de una empresa u otro ejecutivo de alto nivel para manipular a un empleado y conseguir que transfiera fondos o revele información confidencial. Se trata de una modalidad específica y muy eficaz de ataque que pertenece a una categoría más amplia conocida como compromiso del correo electrónico empresarial (o BEC).

La clave del fraude del CEO es aprovecharse de la confianza y la autoridad asociadas a los directivos, con el objetivo principal de obtener ganancias engañando a los empleados de los departamentos de finanzas o recursos humanos para que realicen transferencias no autorizadas a las cuentas del delincuente. La definición del fraude del CEO también incluye estafas dirigidas a robar datos valiosos, como expedientes fiscales de los empleados o listas de clientes, que luego pueden venderse o utilizarse para otras actividades fraudulentas.

El fraude del CEO frente al whaling

Aunque tanto el fraude del CEO como el whaling son ataques de ingeniería social muy selectivos, difieren en sus víctimas y objetivos. El fraude del CEO consiste en que un estafador se hace pasar por un alto ejecutivo para engañar a un empleado y lograr que realice acciones no autorizadas, como transferir dinero o compartir datos confidenciales. El objetivo es engañar al empleado.

En cambio, el whaling es una forma de phishing que se dirige directamente a los propios directivos, o peces gordos, de ahí el nombre que en inglés hace referencia a ballena. El objetivo de un ataque de whaling es engañar al directivo para que revele sus credenciales de acceso personales o bien información corporativa sensible, que luego puede utilizarse para ataques de mayor envergadura.

Ciberdelitos diseñados en detalle

Un fraude del CEO es una estafa que se ha diseñado con esmero mediante el empleo de ingeniería social y trucos técnicos. El proceso suele comenzar con el reconocimiento: los estafadores analizan el organigrama de una empresa, identifican al personal clave del departamento financiero y estudian el estilo de comunicación del CEO.

A continuación, utilizan la suplantación de identidad por email para que parezca que el mensaje procede directamente de la dirección real del directivo. La propia solicitud fraudulenta se redacta para eludir sospechas haciendo hincapié en la urgencia y la confidencialidad. Puede ser que el atacante alegue que está tramitando una fusión secreta o un pago de impuestos urgente que debe procesarse inmediatamente y sin discusión, presionando así al empleado para que actúe antes de que tenga tiempo de pensárselo o verificar la solicitud.

Una estafa muy rentable

Los fraudes del CEO son cada vez más frecuentes, ya que son increíblemente rentables para los ciberdelincuentes y más fáciles de ejecutar en el mundo digital actual. Además, nuestra dependencia de modelos de trabajo remotos e híbridos en el entorno laboral moderno ha creado, de forma inadvertida, nuevas vulnerabilidades.

Por ejemplo, ya no se puede verificar la información preguntando al compañero de oficina que tienes al lado, y esto contribuye a que un email fraudulento de un directivo que suene urgente consiga su objetivo sin ser cuestionado.

→ Profundiza: Los 9 fraudes más comunes en las redes sociales y cómo detectarlos antes de que sea demasiado tarde

Las principales víctimas de fraudes del CEO

En este tipo de fraude, los ciberdelincuentes investigan y estudian detenidamente a sus víctimas, que suelen ser personas y departamentos con más probabilidades de acceder a datos financieros confidenciales o con autoridad para transferir fondos. Estos son algunos ejemplos de personas a las que se suelen dirigir los fraudes del CEO. Si desempeñas alguno de estos cargos, te recomendamos que eleves tu nivel de concienciación y vigilancia:

  • Personal de departamentos financieros y de cuentas a pagar: son las víctimas más habituales, ya que son las personas que tienen acceso directo a los fondos de la empresa y autoridad para procesar pagos y transferencias bancarias. Los atacantes se aprovechan de la obligación que tienen de responder a las solicitudes de los directivos, especialmente si son de carácter urgente.
  • Profesionales de recursos humanos (RR. HH.): estos departamentos guardan gran cantidad de datos personales de los empleados, por lo que se han convertido en blancos prioritarios del robo de datos. Los estafadores se hacen pasar por ejecutivos para solicitar información confidencial de los empleados, como nóminas, declaraciones fiscales y otros datos de identificación personal que pueden utilizarse para el robo de identidad y otros fraudes.
  • Asistentes de dirección y administrativos: estas personas colaboran estrechamente con directivos de alto nivel y a menudo se encargan de asuntos logísticos y financieros en su nombre, como reservar viajes o comprar suministros. Los estafadores les envían solicitudes relacionadas con tarjetas regalo o para que realicen pequeños pagos aparentemente legítimos que resultan ser fraudulentos.
  • Empleados nuevos o con poca experiencia: posiblemente los empleados recién incorporados estén menos familiarizados con los protocolos de pago de la empresa y tengan un mayor interés en mostrarse atentos y dispuestos a ayudar. Los ciberdelincuentes se aprovechan de esta falta de experiencia, con la esperanza de que el nuevo empleado satisfaga una solicitud fraudulenta sin cuestionar su legitimidad.

Señales de alerta de un fraude de suplantación de identidad del CEO

Los fraudes del CEO por email se elaboran cuidadosamente para presionar a un empleado de manera que pierda la calma y cometa un error, por lo que la mejor defensa es analizarlo con frialdad y lucidez, y extremar la vigilancia. Si aprendes a reconocer las señales de alerta sutiles y no tan sutiles, podrás detener estas estafas en seco. Además, todos los empleados, no solo los de finanzas, deben formarse para ser conscientes de las siguientes señales de alerta, que normalmente indican una solicitud maliciosa.

  • Tácticas de presión: el email insiste en su extrema urgencia o en la necesidad de mantenerlo en secreto. Utiliza frases como “necesito que esto se haga ya”, “ocúpate de esto discretamente” o “estoy en una reunión y no puedo hablar” para que actúes de manera precipitada y sin la debida verificación.
  • Petición inusual: el mensaje insta a actuar de una forma que contraviene el procedimiento estándar de la empresa. Puede tratarse de una solicitud para eludir un paso de aprobación necesario, enviar fondos a una cuenta internacional desconocida o comprar tarjetas regalo.
  • Datos de email incorrectos: fíjate bien en la dirección de email del remitente. Los estafadores suelen utilizar un nombre que parece correcto, pero la dirección real es un dominio público como @gmail.com o una versión ligeramente mal escrita del dominio de tu empresa, como CEO@empreesa.com.
  • Cambios de tono o estilo: el lenguaje del email parece fuera de lugar. Puede ser demasiado formal o informal en comparación con el estilo de comunicación habitual del directivo, o puede contener errores gramaticales y ortográficos inusuales.
  • Restricción del canal de comunicación: el remitente indica explícitamente que no te pongas en contacto con él por teléfono ni hables con otras personas de la empresa sobre la solicitud, alegando que está ocupado o que el asunto es extremadamente confidencial. Se trata de una táctica para impedir la verificación.

Más allá del dinero: el verdadero costo del fraude del CEO en el mundo real

El fraude del CEO es una amenaza mundial que ha costado a las empresas miles de millones en pérdidas. Estos casos reales demuestran cómo incluso empresas consolidadas pueden ser presa de sofisticadas tácticas de ingeniería social.

  • Una videoconferencia deepfake de 25 millones de dólares: a principios de 2024, un empleado del departamento financiero de una multinacional pagó 25 millones de dólares tras asistir a una videoconferencia con personas que creyó que eran el director financiero y otros altos cargos. Estas personas eran en realidad recreaciones falsas (deepfakes). El sofisticado ataque comenzaba con un email sospechoso, sin embargo, gracias al gran realismo de la videollamada, fue ganando credibilidad, lo que ilustra la aterradora escalada de las tácticas de estafa.
  • La empresa cinematográfica Pathé pierde 19 millones de euros: la división holandesa de la importante empresa cinematográfica Pathé perdió más de 19 millones de euros por un clásico fraude del CEO. Los estafadores se hicieron pasar por directivos de la matriz francesa utilizando emails falsos para inducir al CEO y al director financiero en Holanda a realizar una serie de transferencias urgentes por una falsa adquisición “confidencial” en Dubái. Los atacantes sacaron partido de la confidencialidad y la autoridad para manipular a los ejecutivos y lograr que se saltaran los procedimientos estándar.

Aunque la pérdida económica inicial por un fraude del CEO puede ser devastadora, el verdadero costo supera con mucho los fondos robados. Las secuelas suelen conllevar importantes gastos secundarios, como costosas investigaciones forenses para determinar el alcance de la filtración, honorarios de abogados y posibles multas reglamentarias si se han visto comprometidos datos confidenciales.

Aún más perjudicial es la pérdida de confianza. Un ataque puede dañar gravemente la reputación de una empresa entre sus clientes, socios e inversores y así dificultar el mantenimiento de las relaciones comerciales. Internamente, un incidente de este tipo puede destruir la carrera de los empleados y minar su moral al crear una cultura de sospecha y culpa que imposibilita la colaboración y la productividad. Estas consecuencias en cascada son la razón por la que la prevención proactiva es una estrategia empresarial básica.

El auge de los deepfakes y los fraudes de voz con IA

La siguiente evolución del fraude del CEO se basa en el uso de inteligencia artificial para crear deepfakes muy convincentes. Los ciberdelincuentes ya no tienen por qué limitarse a utilizar emails de texto. Con solo una pequeña muestra de audio obtenido de una entrevista pública o de redes sociales, pueden clonar la voz de un directivo para utilizarla en un ataque de phishing de voz (vishing).

Imagina que recibes un mensaje de voz que suena exactamente como tu CEO pidiéndote urgentemente que tramites un pago y que, una vez hecho, le envíes un mensaje con los detalles. Con esta tecnología emergente, es más difícil confiar en las señales de alarma tradicionales, como los errores gramaticales o un tono poco habitual. Subraya una verdad fundamental: la mejor defensa es actuar.

Por muy convincente que parezca un mensaje, debes verificarlo siempre por otro canal, como llamando al ejecutivo a su número de teléfono oficial conocido, antes de responder a una solicitud delicada.

Protege tu empresa de fraudes del CEO

Una prevención eficaz del fraude requiere una estrategia de seguridad proactiva en varias capas, que combine tecnología, procesos bien estructurados y formación continua de los empleados para proteger los activos y datos confidenciales de la empresa frente a las tácticas cada vez más sofisticadas que se emplean en fraudes del CEO. Siguiendo estas buenas prácticas, puedes ayudar a crear una defensa sólida y cultivar una cultura de seguridad en la que los empleados se sientan capacitados para cuestionar solicitudes sospechosas.

  1. Sigue la verificación multicanal estándar: ante cualquier solicitud que implique transferencias de fondos o divulgación de datos, debes seguir estrictamente el protocolo de verificación estándar. Esto incluye confirmar la solicitud a través de un canal de comunicación diferente, como una llamada telefónica directa a un número conocido o una conversación en persona. No utilices nunca la información de contacto facilitada en el email sospechoso.
  2. Asiste a los cursos de formación periódicos para empleados: cuando tu empresa anuncie cursos de formación sobre los peligros del fraude del CEO y otros ataques de phishing, siempre que sea posible, no dejes de asistir a todas las sesiones, sobre todo si desempeñas un cargo en finanzas, RR. HH. o asistencia a la dirección. Toma nota de los casos reales de emails fraudulentos para aprender a reconocer las señales de alarma.
  3. Utiliza una solución de seguridad avanzada para el email: cerciórate de que tienes instaladas en tus dispositivos las soluciones modernas de seguridad para el email que ofrezca tu empresa. Estas soluciones marcarán automáticamente los emails para detectar fraudes de suplantación de identidad, así como emails procedentes de fuera de la empresa.
  4. Respeta los controles financieros claros: si te encargas de las finanzas o las compras, cumple estrictamente las políticas para todas las transacciones y somete cualquier transferencia o pago por encima de un determinado umbral a la doble aprobación. Así evitarás presiones personales para que envíes fondos sin una segunda comprobación.

Simulaciones de phishing como parte de la formación

Las simulaciones de phishing son una herramienta eficaz y proactiva para que tus empleados se conviertan en un sólido recurso de seguridad. Estos ejercicios consisten en enviar al personal emails de phishing simulados, sin riesgos, como emails falsos del CEO, en un entorno controlado.

El objetivo no es engañar ni castigar a los empleados, sino proporcionarles formación práctica. Controlando quién hace clic, puedes medir la eficacia de tus programas de concienciación sobre seguridad e identificar las áreas que se deben mejorar.

Y lo que es más importante, los simulacros crean valiosas “oportunidades de enseñanza”, ya que brindan información inmediata a los empleados que no superan la prueba y los entrenan para detectar las señales de alarma en el mundo real. Este proceso refuerza tu firewall humano, logrando que toda tu empresa sea más resistente a los intentos reales de fraude por suplantación de la identidad del CEO.

Pasos que debes seguir si eres víctima de un fraude del CEO

Ser víctima de un fraude del CEO puede ser una situación angustiosa y de alto riesgo, pero una respuesta rápida y organizada puede limitar significativamente los daños y mejorar tus posibilidades de recuperación. Si crees que acabas de sufrir un fraude de este tipo, esto es lo que debes hacer sin demora y en los días siguientes:

  1. Actúa cuanto antes para anular la transferencia de fondos: en cuanto sospeches que se ha producido una transferencia fraudulenta, ponte en contacto con tu entidad financiera para solicitar la recuperación de los fondos. A continuación, indica a tu banco que se ponga en contacto con el banco receptor para congelar la cuenta. El tiempo es crucial, así que este debe ser el primer paso.
  2. Reporta internamente a la dirección: alerta a la dirección de tu empresa, al departamento de seguridad/TI y al equipo jurídico sobre la filtración. Deben conocer la situación para poner en marcha el plan corporativo de respuesta a incidentes y evaluar el alcance de los daños.
  3. Conserva todas las pruebas: no borres nada. Conserva los emails fraudulentos originales, cualquier registro de comunicación y los registros de transacciones pertinentes. Estas pruebas son cruciales tanto para la investigación policial como para tu revisión interna.
  4. Reporta ante las fuerzas de seguridad: presenta un reporte detallado a las fuerzas de seguridad competentes. En México, por ejemplo, las empresas deben reportar lo antes posible ante la Guardia Nacional. También pueden ayudarte las Unidades de Policías Cibernéticas.
  5. Realiza una revisión posterior al incidente: una vez gestionada la crisis inmediata, efectúa una auditoría interna exhaustiva. Analiza cómo se produjo el fraude del CEO, identifica los puntos vulnerables de tus procesos o sistemas, y aplica medidas correctoras y formación adicional para evitar futuros ataques.

Preguntas frecuentes sobre el fraude del CEO

¿Cuál es la diferencia entre el fraude del CEO y el phishing normal?

En el phishing normal, los estafadores envían emails genéricos a miles de personas con la esperanza de que unos pocos piquen el anzuelo. Por su parte, el fraude del CEO es una forma de spear phishing o phishing selectivo, que consiste en utilizar un cebo específico para pescar un pez concreto. Se trata de un ataque muy focalizado en el que los estafadores se hacen pasar por un directivo determinado para engañar a un empleado en particular, utilizando información recopilada sobre su empresa para que la solicitud parezca legítima.

¿Es suficiente nuestro filtro antispam para detener estas estafas?

Aunque un buen filtro antispam es una importante capa de defensa, a menudo no basta para evitar un sofisticado fraude de suplantación de identidad de un CEO. Estos emails fraudulentos están cuidadosamente elaborados para evitar activar las defensas habituales antispam. En general, no contienen enlaces ni archivos adjuntos maliciosos y se envían en baja cantidad, lo que les permite pasar desapercibidos para los filtros que buscan campañas de correo masivo.

¿Por qué piden los estafadores tarjetas regalo?

A los estafadores les encantan las tarjetas regalo porque son una forma de moneda imposible de rastrear. Una vez que compartes el número de tarjeta y el PIN, el estafador puede canjear instantáneamente los fondos o vender la tarjeta en la dark web. A diferencia de las transferencias bancarias, que dejan rastro digital y a veces pueden revertirse, las transacciones con tarjetas regalo son rápidas, anónimas e irreversibles, lo que las convierte en un objetivo de bajo riesgo y alta gratificación para los delincuentes que llevan a cabo este tipo de fraudes del CEO.

¿Puedo tener problemas por caer en la trampa de un fraude del CEO?

Es natural preocuparse, pero lo importante es recordar que estos ataques están diseñados por delincuentes profesionales para explotar la psicología humana y eludir las defensas técnicas. Es algo que se contempla en cualquier cultura empresarial positiva. La prioridad debe ser siempre informar inmediatamente de un incidente sospechoso, sin temor a ser culpado. La rapidez a la hora de reportar es la mejor oportunidad de recuperar fondos y denota que el empleado es responsable. Tras el incidente, hay que centrarse en aprender la lección para fortalecer las defensas de todos.

Conclusiones

Aunque los ciberdelincuentes perfeccionan continuamente sus tácticas, tu mejor defensa es una seguridad proactiva y unificada. Si fomentas una cultura en la que todos los empleados se sientan capacitados para cuestionar y verificar las solicitudes que reciben, crearás un poderoso firewall humano. Recuerda que las claves para proteger a tu organización de la amenaza del fraude del CEO son unos procesos sólidos, la concienciación continua y el compromiso de verificar.