Hacienda lanza una campaña destinada a instituciones y entidades privadas para prevenir los delitos de 'fraude al CEO' - Tecnologías de la Información y las Comunicaciones

- CSIRT-CV ha detectado un aumento de casos de este fraude que busca el desvío de fondos con órdenes falsas que simulan proceder de un superior de la organización
- José Manuel García Duarte incide en que el objetivo de la campaña es "la concienciación de los empleados y también de las organizaciones, para evitar ser víctimas de estas estafas"


La Conselleria de Hacienda, a través del Centro de Seguridad TIC de la Comunitat Valenciana, CSIRT-CV, ha puesto en marcha la campaña "10 consejos para no ser víctima de un fraude al CEO" ante el incremento de casos detectados en los últimos meses con este tipo de delito tanto en instituciones públicas como privadas, y que tienen como objetivo el desvío de fondos con órdenes falsas que simulan proceder de un superior de la organización.

"Nuestro objetivo es concienciar a todos los empleados, especialmente a los que tienen capacidad para gestionar las cuentas y pagos, para no ser víctimas de estos engaños, evitar que se produzcan pérdidas económicas y, por supuesto, hacer conscientes a las empresas e instituciones de los peligros a los que estamos expuestos", ha señalado el director general de Tecnologías de la Información (DGTIC), quien, eso sí, ha apuntado que "los miembros de cualquier organización deberían ser la primera barrera ante estos intentos de fraude que son cada vez más difíciles de detectar por estar muy perfeccionados, pero deberían contar también con el respaldo claro de sus organizaciones, con una apuesta firme por robustecer los procedimientos y los sistemas de seguridad".

Este tipo de engaño consiste en hacer llegar un correo, remitido supuestamente por un superior de la organización, a un empleado o empleada que tenga la posibilidad de realizar transferencias o acceder a datos de cuentas, presionándole para realizar alguna operación financiera o un cambio de cuenta e indicándole que es confidencial y urgente. Puede iniciarse también solicitando información sobre facturas pendientes, mediante un correo o llamada suplantando a dicho organismo.

"Los últimos casos descubiertos estaban perfectamente organizados y los correos eran muy creíbles, dado el nivel de conocimiento de la organización que presentaban, por lo que debemos extremar las precauciones", ha señalado José Manuel García Duarte

Diez consejos sobre ciberseguridad

"Es importante que si un empleado recibe un mail solicitándole una transferencia urgente compruebe el dominio del remitente y se asegure de que esa dirección coincide exactamente con la cuenta de correo electrónico que corresponda, puesto que los ciberdelincuentes tienen que realizar pequeños cambios que pasan desapercibidos", han señalado desde CSIRT-CV.

Además, han reiterado que ante cualquier mail exigiendo transferencias urgentes con cualquier excusa de un supuesto superior, o solicitando cambios en las cuentas de pagos, lo mejor es hacer una comprobación telefónica para hablar directamente con dicho superior, pero nunca utilizando los teléfonos que aparezcan en el email sospechoso, sino al contacto del que se disponga en la base de datos o directorio de la propia organización. Todos los departamentos deben tener, además, protocolos de transacciones financieras claros y sólidos, y cumplirse estrictamente en todos los casos.

"Hay que sospechar de todos los mails, por muy creíbles que parezcan, que indican cambios en cuentas de proveedores o la realización de transferencias o cobros con carácter confidencial y urgente porque los ciberdelincuentes quieren dar el menor tiempo posible a la víctima para evitar ser descubiertos", ha apuntado el responsable de la DGTIC, quien ha advertido que los atacantes suelen crear documentos falsificados que incluyen membretes oficiales e incluso firmas digitales falsificadas muy creíbles que hacen muy difícil su identificación.

Importante también es la prevención en la información que se facilita a terceros, han recordado desde el Centro de Seguridad, ya que "las campañas más sofisticadas de "fraude al CEO" suelen venir precedidas de una fase de investigación, en la que el atacante recaba información sobre la estructura orgánica y funcional del organismo, personas de contacto, facturas, cobros, contratos o incluso de la propia Plataforma de Contratación del Estado o webs oficiales "para conocer qué concursos públicos hay en marcha o qué información creíble pueden tergiversar".

Por eso, han insistido en que es fundamental que la empresa disponga de procedimientos robustos de validación para ciertas operaciones, como la exigencia de la firma digital o el establecimiento de doble firma para operar con importes que superen ciertas cantidades "ya que siempre resultarán más difícil que fructifique un engaño a dos personas que solo a una".

Igualmente, han incidido en que "siempre hay que desconfiar de los correos electrónicos cuyo texto esté mal redactado o con faltas de ortografía; evitar pulsar cualquier enlace presente en mails desconocidos, abrir documentos de procedencia incierta y, por supuesto, evitar enviar credenciales de acceso mediante correo electrónico a nadie, aunque sea de confianza".

Otro de los temas en los que los expertos recomiendan fijarse es en la sintaxis de los enlaces a páginas web que lleguen por correo electrónico "ya que una letra puede marcar la diferencia y tampoco se deben introducir datos personales en páginas web cuyo enlace se haya acortado como bit.ly, cort.as, etc.

"Hay que permanecer siempre alerta, especialmente a las propuestas de cambio de cuentas bancarias, peticiones de información sobre facturas pendientes, así como a solicitudes de cambio de contactos, de cuantías de servicios contratados, cambios de resultados en procesos de adjudicación o a solicitudes de transferencias urgentes por encontrarse el responsable habitual fuera de la oficina", ha reiterado el director general.

Mails sospechosos

García Duarte también ha recomendado que ante la primera señal de mails sospechosos "es fundamental la notificación temprana, así como guardar un registro de todos los correos enviados y recibidos por si se requieren para investigaciones posteriores, así como interponer la denuncia".

"Es muy importante, además de la concienciación de los empleados y de disponer de procedimientos robustos, no dejarse intimidar por solicitudes urgentes o amenazantes, ya que los atacantes pueden ser muy persuasivos y pueden hacer creer a la víctima que se trata de un superior o que su puesto de trabajo corre peligro", han concluido desde la DGTIC, tras remarcar que "una vez CSIRT-CV detecta un mail de este tipo, además de proceder a la notificación de los posibles afectados, se efectúa al bloqueo del remitente en los servidores de correo corporativos, se comprueba que no se hayan recibido también en cuentas de otros usuarios".