El fraude con el CEO, también conocido como fraude de CEO o caso de «presidente falso», es una estafa popular de spear phishing. En este caso, sus supuestos superiores piden a los empleados en correos electrónicos falsos que transfieran una cierta cantidad de dinero o que revelen datos sensibles.
El fraude de los CEOs se centra en imitar situaciones profesionales cotidianas. En culturas corporativas jerárquicas y de ritmo acelerado, las demandas urgentes por parte de la dirección no suelen ser infrecuentes. La solicitud para transferir rápidamente una suma mayor de dinero suele ser ejecutada por los empleados.
Debido a la comunicación directa y personal y a la retórica imitada, depende únicamente del empleado reconocer el ataque y reaccionar ante él. Otra naturaleza explosiva del fraude de los CEOs es que las imitaciones son posibles debido a la simplicidad de los ataques. Los antivirus o cortafuegos son ineficaces aquí, ya que no se trata de un ataque técnico. Lo único que puede ayudar aquí es la sensibilización permanente y la vigilancia permanente.
Lo complicado del fraude al CEO es que el nombre y apellido de un correo electrónico son los primeros en registrar por el lector. Sin embargo, las direcciones de correo electrónico que solo son visibles tras abrir la vista detallada rara vez se notan, aunque sean la principal indicación de fraude por parte del CEO. Por lo tanto, presta atención a ciertas características al abrir un correo electrónico:
Como empleado, conoces el estilo de escritura de tus superiores. Saludo, saludo (tú/tú), elección de palabras o firma: cada uno tiene sus preferencias.
La comunicación digital abre una amplia gama de canales y medios de comunicación. Ya sea por correo electrónico, mensajería con smartphone, redes sociales, SMS, mensajes de audio – cada uno tiene un canal para una única situación. Si aquí prevalece un comportamiento desviado, deberías cuestionar la autenticidad del correo.
La evaluación de la situación suele ser el punto más crítico. En empresas con una comunicación interna inadecuada o poco transparente, a menudo no está claro qué obligaciones están pendientes. Ya sean citas de trabajo regulares o recados. Especialmente a nivel directivo, las citas suelen surgir espontáneamente y las órdenes de trabajo suelen concederse bajo demanda, incluso durante las vacaciones. Si tú, como empleado, no tienes el 100 % de certeza de si el supervisor realmente estaba en una cita, siempre debería tranquilizarse a sí mismo a través de un canal de comunicación diferente, seguro y familiar. En caso de duda, deben cumplirse las normativas internas. Aquí, los directivos también tienen el deber de animar a sus empleados a comportarse de forma segura.
Para proteger a los empleados —pero también a los directores generales— de los estafadores, es importante introducir medidas de protección. Además de las normativas internas, como los procesos de aprobación de pagos o regulaciones de sustitución, deben incluirse medidas educativas. La formación en concienciación y la información interna sobre amenazas actuales deben formar parte de la cultura de seguridad informática de la empresa.
Además, los responsables deben comunicarse con sus empleados a través de ciertos canales de comunicación. Esto es especialmente cierto si trabajan en puestos públicos o centrales con contacto directo con la dirección (finanzas, recursos humanos, comunicación, marketing).
El fraude de CEO es una estafa especialmente peligrosa utilizada por los estafadores en línea. A diferencia de los virus y troyanos, no existen medidas técnicas, solo en forma de filtros de spam que puedan protegerte. Si un correo así llega a la bandeja de entrada del empleado, lo único que ayudará es su sensibilidad ante los ciberpeligros y las medidas internas de precaución que evitan consecuencias peores.
