Las empresas tienen una nueva amenaza. Los hackers se cuelan en sus sistemas, analizan minuciosamente a sus directivos y suplantan la identidad del m\u00e1ximo ejecutivo de la compa\u00f1\u00eda. Incluso son capaces de copiar su tono de voz. Es el denominado Fraude del CEO.<\/p>\n
A la farmac\u00e9utica gallega Zendal le acaban de estafar 9 millones de euros con el denominado Fraude del CEO, un tipo de delito que se ha puesto de moda con el auge del teletrabajo y que se basa en la suplantaci\u00f3n de identidad (phising) para realizar transacciones financieras enga\u00f1osas.<\/p>\n
Espa\u00f1a ya es el tercer pa\u00eds del mundo -s\u00f3lo por detr\u00e1s de Brasil y Australia- con mayor proporci\u00f3n de ataques de phising. Y en los \u00faltimos meses se ha detectado un crecimiento espectacular del Fraude del CEO. Once ciberdelincuentes fueron detenidos recientemente en la costa levantina por haber estafado 2,5 millones a empresas de toda Europa a trav\u00e9s de este m\u00e9todo, y hace unos meses otros hackers consiguieron robar 4 millones a la EMT de Valencia.<\/p>\n
La estafa sufrida por Zendal es quiz\u00e1s el caso m\u00e1s paradigm\u00e1tico de Fraude del CEO tanto por su sofisticaci\u00f3n como por la cantidad sustraida. Al parecer, los ciberdelincuentes eligieron esta compa\u00f1\u00eda porque en las instalaciones de Zendal en O Porri\u00f1o (Pontevedra) se opera ahora a un ritmo fren\u00e9tico, ya que realiza desarrollos biotecnol\u00f3gicos para elaborar vacunas contra el Covid-19 por encargo de la americana Novavax.<\/p>\n
Esta situaci\u00f3n de estr\u00e9s laboral explicar\u00eda que el responsable financiero de Zendal realizara, entre el 19 y el 23 de noviembre, nada menos que veinte transferencias a una cuenta bancaria por 9 millones creyendo que lo hac\u00eda por orden de su jefe. Los atacantes suplantaron la identidad del CEO de la empresa creando una cuenta de correo corporativo desde la que ordenaron al jefe financiero que realizase las transferencias con total discreci\u00f3n.<\/p>\n
Para sofisticar a\u00fan m\u00e1s el enga\u00f1o, los hackers se hicieron pasar tambi\u00e9n por auditores de KPMG para girar por v\u00eda telem\u00e1tica las \u00f3rdenes de pago y las correspondientes facturas falsas. El pobre responsable financiero confi\u00f3 ciegamente en las \u00f3rdenes recibidas y atendi\u00f3 todos los requerimientos de pago que le iban llegando desde la cuenta de correo falsa de KPMG creada por los ciberdelincuentes.<\/p>\n
Hasta que Zendal se qued\u00f3 sin liquidez, y fue entonces cuando el ejecutivo financiero decidi\u00f3 hablar personalmente con su jefe, quien neg\u00f3 haber ordenado ning\u00fan tipo de pago. Pero cuando se descubri\u00f3 el enga\u00f1o ya era tarde, y el dinero hab\u00eda sido transferido a la cuenta de la banda criminal que dise\u00f1\u00f3 la operaci\u00f3n.<\/p>\n
El Fraude del CEO ha costado ya 10.000 millones a las empresas, aunque la cifra puede ser a\u00fan mayor ya que muchas compa\u00f1\u00edas no reconocen haber ca\u00eddo en el timo porque este tipo de estafas, aparte de los da\u00f1os econ\u00f3micos, expone gravemente la reputaci\u00f3n de una organizaci\u00f3n. Qu\u00e9 pensar\u00e1n los clientes si se enteran de que la empresa a la que conf\u00edan su informaci\u00f3n no es capaz de mantenerla a buen recaudo.<\/p>\n
El phising (suplantaci\u00f3n de identidad), en el que se basa el Fraude del CEO, es una t\u00e1ctica habitual usada por los ciberdelincuentes para lucrarse il\u00edcitamente.<\/strong> Estos ataques aparecen a trav\u00e9s de correos electr\u00f3nicos, mensajer\u00eda instant\u00e1nea, chats y redes sociales. Cuando los hackers obtienen los datos personales y financieros de la v\u00edctima, atacan sus cuentas bancarias y tarjetas de cr\u00e9dito, realizando transferencias financieras fraudulentas y compras online.<\/p>\n El Fraude del CEO es un phising avanzado, basado en el estudio minucioso de una compa\u00f1\u00eda, de su d\u00eda a d\u00eda y de los directivos intermedios con responsabilidad y con acceso a la caja. Para perpetrarlo, los atacantes utilizan las \u00faltimas tecnolog\u00edas. En la estafa de Zendal crearon cuentas de correo falsas -tanto del CEO de la compa\u00f1\u00eda como de los auditores de KPMG-, pero se han dado casos en Estados Unidos donde han llegado a la imitaci\u00f3n perfecta del tono de voz, e incluso del acento, del ejecutivo que se quiere suplantar, v\u00eda software avanzado.<\/p>\n Los ciberdelincuentes tienen muchas formas de acceder a los sistemas internos de una empresa.<\/strong> Un investigador de Harvard lo comprob\u00f3 f\u00e1cilmente. De los 50 profesionales a los que llam\u00f3 afirmando ser del equipo de Seguridad Inform\u00e1tica de la empresa y solicitando sus claves para instalar una actualizaci\u00f3n inform\u00e1tica, 48 cayeron en el enga\u00f1o.<\/p>\n En ocasiones, los peores hackers para una compa\u00f1\u00eda son los propios empleados. Publican en redes sociales aspectos de sus responsabilidades laborales y se descargan aplicaciones gratis en el m\u00f3vil que permiten a terceros acceder a la agenda y conocer los lugares a los que viajan. Hay entidades como JPMorgan que proh\u00edben a sus empleados usar sus direcciones de email laboral para registrarse en webs de compras o en redes sociales como Facebook o LinkedIn.<\/p><\/blockquote>\n Para evitar ataques como el Fraude del CEO las compa\u00f1\u00edas deben establecer protocolos y controles financieros adem\u00e1s de contar con un adecuado servicio de ciberseguridad, pero tambi\u00e9n es necesario concienciar a los empleados, a trav\u00e9s de campa\u00f1as de sensibilizaci\u00f3n, para que sean conscientes de que hay miles de cibercriminales que est\u00e1n listos para atacarles.<\/p>\n Y si tenemos alguna duda de sus artima\u00f1as, recordemos uno de los ataques m\u00e1s famosos de la historia. El protagonista es Ahmad Hosseini, un simple empleado de mantenimiento en la central nuclear de Natanz en Ir\u00e1n. Un buen d\u00eda lleg\u00f3, aparc\u00f3 su coche en el p\u00e1rking y cuando iba a coger el ascensor para subir a su puesto de trabajo se encontr\u00f3 un pendrive en una repisa. El empleado lo cogi\u00f3 y lo guard\u00f3 en el caj\u00f3n de su escritorio. D\u00edas despu\u00e9s necesitaba llevarse a casa un informe para revisarlo, meti\u00f3 en el puerto USB de su ordenador el pendrive encontrado por casualidad y se desat\u00f3 tal cat\u00e1strofe en las redes de la central que provoc\u00f3 un retraso en el programa nuclear iran\u00ed.<\/p>\n El bueno de Hosseini infect\u00f3, por supuesto sin querer, el sistema inform\u00e1tico con un virus llamado Stuxnet, destinado espec\u00edficamente a sabotear las centrifugadoras nucleares de Ir\u00e1n. Stuxnet se convirti\u00f3 as\u00ed en el arma cibern\u00e9tica m\u00e1s sofisticada de la historia. Se sospecha que detr\u00e1s de ese virus estaban EEUU e Israel.<\/p>\n Tomemos nota para vencer a los hackers.<\/p>\n <\/p>\n <\/p>\n Fuente: Diario Expansi\u00f3n\u00a0<\/em><\/p>\n","protected":false},"excerpt":{"rendered":" Las empresas tienen una nueva amenaza. Los hackers se cuelan en sus sistemas, analizan minuciosamente a sus directivos y suplantan la identidad del m\u00e1ximo ejecutivo de [\u2026]<\/span><\/p>\n","protected":false},"author":2,"featured_media":18194,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[68,19],"tags":[],"class_list":["post-18191","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","category-seguridad-informatica"],"yoast_head":"\n