La ciberdelincuencia no para de crecer. Hace cinco años, los delitos cometidos a través de Internet suponían el 4,6 por ciento del total mientras que en 2020 ya representaban el 16,3 por ciento, según el VIII Informe sobre Cibercriminalidad, elaborado por la Dirección General de Coordinación y Estudios de la Secretaria de Estado de Seguridad. Las amenazas, coacciones, delitos sexuales aumentan año tras año en la Red aunque, sin duda, son las estafas y fraudes informáticos los que más preocupan a los investigadores ya que representan el 89,9 por ciento de los ciberdelitos. Dentro de esta categoría, la Estafa del CEO se rebela como el golpe estrella de los criminales 3.0. Grandes empresas, pymes e instituciones han caído en la trampa con severos perjuicios económicos. El subinspector del Grupo de Delincuencia Económica y Delitos tecnológicos de la Policía Nacional en Baleares Sergio Víctor explica en mallorcadiario.com todas las claves de esta estafa online.
Es aquella estafa por la que los delincuentes se hacen pasar por el CEO o el jefe de una empresa que da órdenes de pago al servicio administrativo. En un momento determinado, ordenan al trabajador que habitualmente ejecuta el pago a que realicen un pago a cierta cuenta por cierto concepto y el empleado cae porque cree que es su jefe quien le da la orden.
¿La orden se da vía e-mail? ¿SMS? ¿Llamada?
Sobre todo, a través de correo electrónico. La casuística es inmensa pero las más comunes son a través de esta vía ¿Cómo? Creando una dirección parecida a la del jefe -en vez de peperamirez@hotmail.com ponen peperamírez@hotmail.com, prácticamente igual excepto por la tilde. Un detalle casi imperceptible que el empleado no detecta y pica.
Otra forma es a través de la toma de control de los correos electrónicos del CEO mediante un ataque informático. Los delincuentes envían un correo, con una excusa totalmente verosímil que pasa el filtro, indicando, por ejemplo, que debe actualizar las bases de datos e bajarse un archivo para cubrir una encuesta pero realmente es un malware. De este modo, el jefe aloja un virus en su ordenador que captará la información para la organización.
Y una tercera vía: envían a los trabajadores un enlace para actualizar las bases de datos de la empresa, reclamándoles su usuario y su clave. De este modo, logran acceder a su bandeja de entrada con todos los correos enviados. Así aprenden quién es quién y qué pagos hay programados, para así hacerse pasar por el jefe y redireccionar la orden a otra cuenta que han creado. El problema viene cuando el verdadero proveedor no recibe la transferencia y llama para ver qué pasa: ni ellos han cobrado ni los otros han pagado a quién correspondía. Hay dos víctimas.
¿La estafa del CEO es la ciberestafa de moda?
Hay tantas ciberestafas en estos momentos que no me atrevería a decir que es la de moda, pero, desde luego, la estafa del CEO tiene una incidencia demasiado alta.
¿Por qué? ¿A qué lo atribuyen?
Desgraciadamente, tenemos muy poca cultura de ciberseguridad y, además, las pymes -de tres o cuatro empleados- tienen unos controles de seguridad mínimos o directamente inexistentes porque su actividad e infraestructura históricamente nunca lo ha necesitado. Reciben un e-mail de “su jefe” y no lo verifican. No son grandes organizaciones que requieran de mil filtros, así que los ciberdelincuentes se aprovechan.
“Hay muy poca cultura de ciberseguridad. Debemos desconfiar de todas las órdenes de pago en remoto y verificar por teléfono su autenticidad”
¿Cuándo comenzaron a detectar la estafa del CEO?
Es algo relativamente reciente, entre cuatro y cinco años, y afecta a empresas de todo el país. En Mallorca llegamos a tener hace pocos meses entre dos y cuatro denuncias semanales. En el acumulado, la incidencia es brutal.
¿Hay un perfil de las víctimas?
No, aunque es verdad que le están pegando más fuerte a las pymes porque los controles son más laxos. No obstante, hay otras empresas potentes que también han sido atacadas.
En Baleares lograron retener 350.000 euros estafados a una empresa del sector de la náutica…
Sí. Llegamos a tiempo. Era una transferencia internacional y empleando mecanismos propios -que no puedo desvelar- logramos bloquear a tiempo la transferencia y evitar que se sustrajese el dinero.
Los ‘malos’ actúan desde…
Desde cualquier parte del mumdo. Antes, el malo iba con una recortada y un pasamontañas a atracar un banco. Ahora, el malo está en su casa con un ordenador y conexión de internet y puede estar alojado en cualquier parte del planeta. África, América, Asia, aquí al lado, en Palma pero que operen una cuenta con domicilio en Madrid…
Para que la estafa se lleve a cabo, deben facilitar una cuenta falsa a la que la víctima ordenerá el pago. ¿Cómo las abren?
Se pueden abrir cuentas con documentación online, no hace falta la presencialidad. En este sentido, tenemos lo que denominamos ‘mulas’ y estas pueden ser A o B. Las A son las que tienen directa vinculación con la organización y las B, aquellos particulares que han cometido el error de enviar su carnet de identidad a un tercero para, por ejemplo, alquilar un inmueble. Nos ha pasado. Uno que quiere alquilar un piso en Palma y, a través de un portal inmobiliario muy famoso, se ha puesto en contacto con el supuesto propietario. “Vamos a hacer el contrato, necesito una foto de tu carnet de identidad”, le dicen, y él pica y le manda una foto de su DNI.
Él cree que se lo está mandando a alguien para alquilarle un piso y, en realidad, se lo está proporcionando a una organización que capta datos personales para abrir cuentas. El problema es que, además de que te quedas sin piso, te puedes ver envuelto en una estafa.
“Hay quien te pide la foto de tu DNI para, por ejemplo, formalizar el contrato de alquiler de un piso y, en realidad, lo que pretende es abrir una cuenta a tu nombre para delinquir”
¿Qué consejos da a las empresas?
Desconfiar de cualquier orden de pago y verificar de dónde viene cada correo. Comprobar exactamente quién lo envía, llamar por teléfono a la fuente y cerciorarse de que efectivamente ha enviado ese e-mail para ejecutar tal pago en la cuenta que le está comentando. Una verificación por teléfono puede ahorrarnos muchos disgustos.
¿Cómo actúa la Policía ante la estafa del CEO?
Con bastante presteza, por eso es tan importante que las víctimas denuncien cuanto antes para intentar bloquear el pago. De hecho, no se trata sólo de denunciar sino de hablar con la entidad bancaria según se es consciente del error para intentar que quede bloqueada la operación. Luego, la investigación policial, durará lo que tenga que durar pero, al menos, que el dinero no desaparezca.
“Antes los ‘malos’ iban con una recortada y un pasamontañas a atracar un banco. Ahora los ‘malos’ operan desde su casa y su ordenador”
Por último, estas estafas se están produciendo también en bitcoin?
Tenemos el caso de la cajera de un supermercado a la que le llaman al teléfono fijo, se identifican como una empresa de transporte, le indican que su jefe es ‘X’ y que tiene que hacer tal pago urgentemente para que le llegue una mercancía paralizada en la Aduana. Es más, le dicen que si no ejecuta el pago tendrá que pagar multa. En definitiva, le ofrecen un relato tan creíble y le pillan en un momento de tanta urgencia, con el jefe ilocalizable (porque han estudiado su agenda), que la víctima coge el dinero de la caja y lo ingresa en la cuenta que le dictan. Y ojo, porque además lo hace en un cajero bitcoin que lo convierte en criptomonedas, lo cual nos complica el seguimiento.
.- este es un artículo de Cristina Suárez y Mallorcadiario.com para Menorcaldia.com
