Ladrones mandan un mail al contable de una empresa, haciéndose pasar por un alto directivo que le ordena una transferencia millonaria a una cuenta en China. El contable obedece ciegamente y la empresa pierde miles. O millones. Es el "fraude al CEO" y está creciendo como nunca "gracias" a la tecnología. Cientos de empresas de todo el mundo lo están denunciando. En España se ceba en las PyMes.

A finales de enero, un banco belga anunciaba que le habían robado 70 millones de euros con el "fraude al CEO" (http://www.net-security.org/secworld.php?id=19370). Pocos días después, un constructor austríaco de sistemas para aeronaves afirmaba haber perdido 50 millones con el mismo engaño (http://www.tripwire.com/state-of-security/security-data-protection/boeing-supplier-hacked-claims-55-million-worth-of-damage-as-stock-price-falls/). "En España empezó hace un par de años y tenemos cada vez más casos, nosotros detectamos unos 15 cada semestre", asegura Alberto Redondo, Jefe de Delitos Tecnológicos de la Guardia Civil.

A nivel mundial son cientos las empresas, grandes y pequeñas, que han sido estafadas. No hay estadísticas en nuestros país pero sí en Estados Unidos, donde el FBI lo tipifica como "Business Email Compromise" (Compromiso de Correo Empresarial). Desde octubre de 2013 hasta agosto de 2015 se han denunciado más de 7.000 casos, con unas pérdidas de 750 mil millones de dólares. Entre enero y agosto de 2015 se incrementó un 270%. (http://www.ic3.gov/media/2015/150827-1.aspx)

José Selvi, hacker blanco en la empresa británica NCC Group, explica en qué consiste este fraude: "El atacante suplanta la identidad de una persona con alto poder de decisión (el Director Ejecutivo o el Financiero) y aprovecha alguna ocasión en la que este no esté accesible, como puede ser un viaje, para usurpar su identidad, con un correo que parezca ser el correo personal del directivo, una llamada falsa o alguna técnica similar".

El Jefe de Delitos Tecnológicos añade otra modalidad, más extendida en España: "Mediante redes sociales o también accediendo al ordenador de los directivos investigan sus relaciones comerciales con empresas y simulan una petición". La última estafa de este tipo que ha visto la Guardia Civil "simulaba ser la empresa que normalmente compraba bobinas de cobre a otra y hizo un pedido que se entregó en un punto intermedio. También lo hacen con dinero: piden un adelanto para gastos", explica Redondo.

Los ladrones hacen un seguimiento al directivo en el mundo físico, para saber dónde vive y trabaja, y en las redes sociales, para descubrir con quién se relaciona profesionalmente, cómo habla y su contexto personal. Según el nivel técnico de los criminales el seguimiento puede ser más profundo, explica Redondo: "Pueden hackear sus cuentas, la wifi de su casa, la wifi pública del bar donde desayuna.. o, si saben qué periódico lee, pueden atacar sus servidores DNS para que crea estar visitando el periódico mientras le introducen un virus".

Con toda esta información recopilada y analizada, incluidos los protocolos de la empresa, horas de mayor o menor trabajo, etc, empieza el fraude propiamente dicho. En los últimos casos detectados por el Grupo de Delitos Tecnológicos los delincuentes impersonan a los directivos usando direcciones de correo electrónico que puedan inducir al equívoco. Por ejemplo: si la dirección correcta del directivo es luis@elconfidencial.com, mandan el mensaje desde luis@confidencial.com. En él piden a uno de sus clientes que "por esta vez" haga la transferencia a una cuenta diferente de la de siempre.

La Guardia Civil ha visto otras variantes: los ladrones saben que una empresa está a punto de ser auditada y la llaman simulando ser el auditor, para pedirle todo tipo de datos confidenciales con la excusa de hacer la auditoría, como números de cuentas bancarias y otros datos. Los botines de que se llevan son considerables. En el caso de las bobinas de cobre la empresa víctima, una PyMe de 20 trabajadores, perdió 140.000 euros.

Para hacerse una idea de cómo funciona este fraude desde el punto de vista de las víctimas es ilustrativa la denuncia que presentó a finales del año pasado una empresa de Texas, AFGlobal (http://krebsonsecurity.com/2016/01/firm-sues-cyber-insurer-over-480k-loss/). Su director de cuentas recibió una mañana diversos mails de alguien que aseguraba ser el CEO de AFGlobal:

"Glen, te he asignado para que lleves el archivo T521. Esta es una operación financiera estrictamente confidencial así que comunícate conmigo sólo a través de esta dirección de correo y no hables con nadie sobre esto", decía el mail.

Media hora después, otra mail supuestamente de un consultor de la otra parte, implicado en la operación, pedía al contable que ingresase 480.000 dólares en concepto de gastos derivados de la adquisición. El delincuente siguió mandando mails hasta completar la transferencia a una cuenta del Banco Agrícola de China.

Según la denuncia, "el impostor parecía conocer los procedimientos normales de la compañía y parecía también saber que el CEO tenía una larga relación, muy personal y familiar, con el contable, lo suficiente para que el contable no cuestionase lo que le pedía el CEO". Lo peor llegó cuando AFGlobal notificó el robo a su compañía de seguros, que no quiso cubrirlo.

Manel Medina, director del esCERT-inLab-UPC y coordinador R&D del Anti Phishing Working Group Europa, explica: "Este fraude requiere mucha preparación logística, analizando mensajes de los directivos que se van a suplantar para conocer su lenguaje, forma de expresarse y negocios que lleva entre manos, para dibujar un escenario creíble al empleado que se va a engañar. Este trabajo puede llevar varios meses de espionaje o seguimiento en el mundo virtual o incluso real".

Una PyMe francesa de 50 trabajadores, Etna Industrie, fue también víctima del fraude (http://www.bbc.com/news/business-35250678): "Alguien llamó a nuestra contable el viernes por la mañana, avisándola de que la presidenta le mandaría un mensaje con instrucciones sobre una transacción muy confidencial y que debía seguirlas".

Poco después, un mail en cuyo remitente aparecía el nombre de la presidenta anunciaba a la contable que su empresa iba a comprar una compañía en Chipre y que un consultor la llamaría para darle instrucciones sobre dónde debía transferir el dinero. Todo pasó entre las 9 y las 10 de la mañana, en este tiempo la contable recibió 10 mails y 3 o 4 llamadas telefónicas.

La presión de los estafadores quería evitar que la contable se parase a pensar. En poco tiempo autorizó transferencias por valor de medio millón de euros a cuentas en bancos extranjeros. Por suerte para la empresa, se pudo recuperar la mayoría y "sólo" perdió 100.000 euros. En Francia, en los últimos 5 años, se han perdido 465 millones y 15.000 empresas han sido víctimas de este fraude, entre ellas Michelin, KPMG o Nestlé.

"Las empresas más grandes y con proyección global son las más apetecibles para los estafadores porque están acostumbradas a transferir grandes cantidades de dinero a países “exóticos”", afirma Manel Medina, aunque el mayor número de víctimas son las PyMes, con una seguridad más relajada. Las estadísticas fijan en un 10% el número de empleados que caerían en esta trampa. "Si entre ellos hay uno/a que tenga poderes para autorizar transferencias de dinero, es suficiente", afirma Medina.

El cumplimiento estricto de los protocolos de la empresa debería servir como defensa ante el "fraude al CEO". También que los empleados no obedezcan ciegamente una orden porque parezca venir de un directivo. "Si se pide una transferencia sólo con intercambios de correo o se cambian cuentas habituales hay que sospechar y llamar por teléfono para confirmar", afirma el Jefe de Delitos Tecnológicos.

Además, asevera Redondo, hay que fijarse en la redacción de algunos correos. Aunque hay bandas nacionales dedicadas a este fraude, también pululan algunas de Europa del Este que traducen los mails al español con Google Translate y "les chirría el castellano". Otra recomendación de la Guardia Civil es que "para órdenes sensibles debe haber un doble sistema de verificación". Securizar el portátil del CEO y usar el sentido común son también buenos consejos.

Manel Medina incide además en la importancia de formar a los empleados, "desde el de la limpieza hasta la cúpula directiva". El CEO de la empresa Centrify, que ha sufrido diversos intentos de fraude este tipo, aporta una original idea: "Compra los dominios que sean variaciones del de tu compañía y puedan usar los timadores para confundir a tus empleados".(http://blog.centrify.com/ceo-fraud-business-email-compromise/)

Mercè Molist