El director financiero recibe una petición de su consejero delegado por correo electrónico. El CEO pide que se transfiera una suma millonaria a un número de cuenta en otro país. Y su equipo de finanzas lo ejecuta. Esta operativa, que puede funcionar con normalidad en una empresa, puede suponer la pérdida de miles de euros víctimas de una estafa conocida como 'fraude al CEO' o ataque Business Email Compromise (BEC).

En los últimos años, este tipo de estafa se ha extendido gracias a la simplicidad y efectividad de su sistema. "Es especialmente popular entre aquellos que carecen de herramientas y conocimientos especiales para llevar a cabo esquemas más complicados de ataque", señala Trend Micro, firma de soluciones de ciberseguridad.

Según los datos del FBI, entre 2013 y 2017, este tipo de ataques han supuesto 5.300 millones de dólares a las empresas. Para este año, la cifra superará los 9.000 millones, estima Trend Micro. Entre enero de 2015 y diciembre de 2016, los ataques BEC aumentaron un 2.370%. Este tipo de estafas se han denunciado en más de 130 países.

La compañía, que ha analizado las tendencias actuales y emergentes de los incidentes BEC entre enero y septiembre de 2017, ha clasificado los ataques según dos técnicas para realizar el fraude: la captura de credenciales y el correo electrónico. Es decir, las que utilizan malware -programas maliciosos- o las que suplantan identidad.

En el primer caso, implica el uso de dispositivos o hardware específico para registrar las pulsaciones en el teclado y posteriormente envían un fichero con el registro a través de Internet. En el segundo, la estafa se realiza a través del envío del un correo electrónico a alguien del departamento financiero -normalmente el director financiero-.

Con esta técnica, los atacantes diseñan el email para que parezca que lo ha enviado un directivo de la empresa, por lo que sus órdenes se ejecutarán casi sin cuestionamiento. En la mayoría de los casos, indica Trend Micro, el correo pide una transferencia a un proveedor o un favor personal. 

¿Cómo detectar un ataque BEC?

Los ataques BEC que sólo implican correo electrónico "utilizan técnicas de ingeniería social", señala la firma de ciberseguridad. "Utiliza los métodos más sofisticados para explotar la psique humana". Para realizar un ataque BEC se crean direcciones de email con apariencia legítima, con proveedores de correo electrónico poco fiables o con el registro de un dominio web que imite o se asemeje a la empresa objetivo.

Según Trend Micro, el nombre más común de los archivos adjuntos en este tipo de correos que pretenden suplantar la identidad de un directivo es "orden de compra". Le siguen "pago", "PDF" y "factura".

Entre las recomendaciones que hace el propio FBI para protegerse de este tipo de estafas está la creación de un sistema de detección que alerte de aquellos correos que tengan extensiones similares a las de la empresa. Por ejemplo, si el email de la compañía se construye con la forma 'nombre.apellido@empresa-abc.com', la aplicación alerte de la entrada de un posible correo fraudulento si es similar: 'nombre.apellido@empresa_abc.com'.

También recomienda a las empresas registrar los dominios web que sean similares al nombre de su compañía, confirmar personalmente las órdenes de transferencia de fondos y ser especialmente cautelosos con las peticiones de dinero por correo si no son lo habitual.