“Soy tu director general y te necesito para una operación muy importante”: el timo digital que se extiende entre ejecutivos

Ejemplo de un correo enviado con la técnica del fraude del CEO Instituto Nacional de Ciberseguridad (INCIBE).

9 de febrero de 2020 20:36h Actualizado el 26/04/2022 11:51h

El director general de una multinacional se pone en contacto con uno de los responsables del departamento financiero. La compañía, le dice, está negociando una operación que puede resultar clave para su futuro. Se ha acordado transferir una suma importante a otra empresa, pero el director general advierte que hay que hacerlo rápido y con discreción para que todo salga bien. Como le pide su jefe, este ejecutivo se pone en contacto con un abogado encargado de los trámites, quien le comunica la cuenta y condiciones en las que debe transferir el dinero. Halagado por la confianza que el 'mandamás' de la compañía ha depositado en él, cumple el cometido discreta y eficientemente.

Todo era falso. Ni el director ejecutivo ni el abogado son quienes dicen ser. Para cuando la víctima se da cuenta de lo que ha pasado, el dinero ya ha desaparecido. Se la han jugado con el denominado 'timo del CEO', una estafa digital sorprendentemente sencilla en la que ejecutivos y trabajadores con autoridad para mover el dinero de sus empresas están cayendo cada vez más.

“En nuestro equipo de resolución de incidentes estamos teniendo casos prácticamente a diario. Y algunos son muy grandes: incluso de 20 millones de dólares en una sola transferencia”, explica Alfredo Reino, experto en ciberseguridad de una las firmas de referencia en el sector. “Con muy poca preparación, con muy pocos medios, son capaces de conseguir estafas de importes bastante elevados. Es un problema muy serio que está afectando prácticamente a todo el mundo”, desvela durante una ponencia sobre este problema en HackOn, el evento sobre ciberseguridad de la Universidad Rey Juan Carlos.

El timo ha conseguido golpes sonados en todas partes, también en España. En septiembre salió a la luz el salvaje engaño en el que cayó la jefa de Administración de la Empresa Municipal de Transportes (EMT) de Valencia, que provocó una crisis en este ente público y en el Ayuntamiento. Transferencia a transferencia, Celia Zafra (de 60 años y trabajadora de la EMT desde 1981) desvió cuatro millones de euros de dinero público a Hong Kong por orden de un estafador que suplantó a un abogado de la firma Deloitte. Fue despedida y actualmente es la única imputada en el juicio que dirime los hechos.

Las estadísticas de criminalidad del Ministerio del Interior no disponen de una categoría específica sobre el impacto del 'timo del CEO' en España, ya que se rigen por tipo penal, no por la casuística del delito. En función de los hechos, esta estafa digital podría procesarse como “estafa” o como “fraude informático”, cuya incidencia se ha doblado desde 2016 (45.864 infracciones procesadas ese año, por las 88.760 de 2018).

Quien sí prepara informes especiales sobre el 'timo del CEO' es el FBI, que elevó su primera alerta sobre él en 2017. Entonces cifraba en 5.000 millones de dólares el dinero estafado a las empresas con este método. En 2018 actualizó la situación, estimando las pérdidas en 12.000 millones. Volvió a hacerlo en septiembre de 2019: para entonces, el dinero estafado se iba ya a 26.000 millones.

Un WhatsApp de tu jefe... o su voz

“La mayoría de los casos se producen por email, aunque últimamente también lo vemos bastante por WhatsApp”, detalla Reino. De hecho, si las estafas de suplantación de identidad vía email se conocen como phising (del inglés 'pescar'), al 'timo del CEO' se le conoce como whaling (caza de ballenas). Aquí los estafadores van a por los “peces gordos” de la empresa.

Aunque el rango de profesionalidad de los cibercriminales varía, en esta estafa es fácil ver un alto grado de dedicación. Un solo golpe puede llegar tras meses de estudio del terreno. “Una forma de hacerlo es a través de hacking clásico: robo de credenciales para acceder al sistema de correo electrónico de una organización. Una vez ahí leen los emails para ver el vocabulario que se utiliza (si la empresa tiene una terminología interna) y cómo funcionan los pagos, quién los pide y quién los autoriza”, prosigue el experto en ciberseguridad.

Una vez elegido el objetivo y el plan de acción, lo siguiente es perfeccionar el disfraz. Aquí los estafadores pueden servirse de una cuenta de email falsa o hackeada de un directivo de la corporación, o bien de un perfil de WhatsApp con fotos e información robada. Los ciberataques cuyo objetivo es hacerse con información de ejecutivos de alto rango son una tendencia al alza en los últimos años. El informe de Verizon sobre brechas de seguridad que afectaron a datos personales en 2019, por ejemplo, recoge que estos perfiles tenían “12 veces más probabilidades de ser blanco de ciberincidentes sociales y nueve veces más de ser el objetivo de fugas de datos que en años anteriores”.

La última vuelta de tuerca es aplicar tecnología punta al timo. En 2019, la firma de ciberseguridad Symantec avisó de que había detectado tres casos en los que las empresas aseguraron que la estafa se había llevado a cabo por teléfono y con la propia voz del presidente o director ejecutivo de la compañía con deepfakes. Esta técnica es más conocida por su uso para generar vídeos falsos de personas conocidas a través de algoritmos que procesan horas de grabaciones de la persona real, a partir de los cuales fabrican el contenido fraudulento. Según Symantec, esta tecnología se ha usado con objetivo de replicar la voz de altos ejecutivos y lanzar órdenes falsas. La investigación de la aseguradora que tiene que compensar los daños pone en duda esta versión.

Sea cual sea el disfraz para engañar a la víctima, el modus operandi es siempre el mismo: “Te intentan transmitir una sensación de urgencia y discreción, de que eres tú el elegido dentro de la empresa para ayudar al director general a hacer una operación que es súper importante y de la que nadie más se puede enterar. Con esa excusa, intentan que te saltes las normas internas a la hora de hacer un pago”, detalla Reino.

Múltiples focos

En el caso de la estafa que afectó a Celia Zafra y a la EMT de Valencia, un dictamen pericial encargado a Telefónica concluye que la localización de los timadores “parece estar fijada en ciertos países francófonos de África”, en base al horario en el que la contactaban y otros indicios. Reino, por su parte, señala que varias investigaciones han apuntado a Nigeria como un foco habitual de este tipo de estafas.

Pero España no se queda atrás. En noviembre, la Guardia Civil detuvo a tres personas acusadas de estafar más de 10 millones de euros a 12 empresas de Bélgica, Venezuela, Bulgaria, Noruega, Estados Unidos, Alemania, Luxemburgo, Portugal, Chile y Reino Unido empleando el 'timo del CEO'. Los miembros de la red se enfrentan a los delitos de pertenencia a organización criminal, estafa continuada, blanqueo de capitales, descubrimiento y revelación de secretos, falsedad documental y usurpación de estado civil. La Guardia Civil identificó hasta 83 sociedades y 185 cuentas bancarias que los acusados usaron para mover el dinero estafado.

Las recomendaciones de los cuerpos de seguridad para evitar ser víctima de esta estafa es, para las empresas, concienciar del riesgo a los trabajadores o diseñar procesos propios para autorizar pagos que verifiquen la identidad de las solicitudes. Para los empleados, sobre todo, no saltarse las normas de la compañía a la hora de hacer un pago bajo ninguna circunstancia y consultar con el departamento de informática ante cualquier comunicación sospechosa.

Una sociedad mal informada debilita la democracia

Ahora más que nunca se demuestra que la desinformación debilita la democracia y por eso son necesarios medios que te cuenten la verdad: la independencia de eldiario.es es posible porque somos rentables y no tenemos deudas. Solo nos financiamos con la publicidad y el apoyo de más de 35.000 socios y socias. Nuestro trabajo necesita de tu apoyo, y cuesta dinero.

Te necesitamos para seguir. Hazte socio. Hazte socia.