¿Alguna vez has recibido un correo electrónico o un mensaje solicitando que realices de forma urgente una transferencia? Mucho cuidado, podrías estar ante el fraude del CEO, uno de los fraudes más habituales y dañinos para las empresas.
Se trata de un ciberataque basado en el spoofing (la suplantación de la identidad) con el que los delincuentes se hacen pasar por directivos, responsables intermedios o incluso el propio CEO de la compañía. A través de correos electrónicos, WhatsApp o llamadas telefónicas (que incluso pueden imitar la voz gracias a la inteligencia artificial), logran manipular a un empleado para que realice transferencias de dinero; compras de tarjetas regalo en plataformas como Apple, Amazon, Paysafecard, justificadas como pagos corporativos urgentes; pagos directos e incluso, ingresos en cajeros de criptomonedas (Bitcoin).
Evolución y variantes del fraude del CEO
El fraude del CEO ha ido cambiando con el tiempo, adoptando diferentes técnicas para engañar a empleados y empresas. Aunque las formas varían, todas tienen un mismo patrón: la suplantación de un directivo que transmite urgencia y exige actuar con rapidez, asegurando que el dinero será devuelto enseguida.
Whaling
Se trata de un tipo de phishing diseñado específicamente para los llamados “peces gordos” de la organización: CEOs, directores financieros o de operaciones. Como tienen acceso directo a información confidencial y capacidad de decisión sobre grandes cantidades de dinero, resultan un blanco muy atractivo para los ciberdelincuentes.
Ataque al becario
Este método se aprovecha de los empleados recién incorporados. El estafador se hace pasar por un jefe y, aprovechando la inexperiencia y las ganas de complacer, les piden que compren tarjetas regalo. El gasto suele correr por cuenta del propio trabajador, creyendo que cumple con una orden legítima de empresa.
Fraude BEC (Business Email Compromise)
En este caso, los atacantes comprometen o falsifican cuentas de correo corporativas y envían mensajes que parecen proceder de superiores. Generalmente se trata de facturas alteradas en las que se cambia el número de cuenta de destino, logrando que las transferencias acaben en manos de los estafadores.
Deepfakes y clonación de voz
Una de las variantes más sofisticadas es la que utiliza inteligencia artificial para imitar la voz o incluso la imagen de un directivo. De este modo, mediante llamadas telefónicas o mensajes en plataformas de mensajería, el ciberdelincuente consigue que sus instrucciones suenen totalmente creíbles.
¿Cómo lo hacen?
- Selección de la víctima
El estafador estudia previamente la estructura de la empresa y localiza al trabajador más adecuado para ejecutar el engaño. Conoce sus rutinas y sabe cómo comunicarse con él para que parezca creíble.
2. Manipulación del empleo
Una vez establecido el contacto, solicita un pago urgente o una gestión inmediata. Para presionar, utiliza frases como:
- Es confidencial, por favor no informes a nadie
- La compañía confía en ti
- Ahora mismo no estoy disponible, pero es urgente, necesito que lo hagas ya
El objetivo es que el empleado actúe deprisa, sin tiempo para reflexionar ni verificar la información.
3. Reacción de la víctima
Para dar más veracidad, el ciberdelincuente suele justificar la petición con situaciones delicadas, como una inspección fiscal o una negociación clave. Además, sugiere al empleado saltarse los protocolos habituales de autorización de pagos.
4. Impacto del fraude
Cuando la víctima accede, el dinero se transfiere a una cuenta controlada por el estafador. El daño no se limita a la pérdida económica, sino que también afecta a la reputación de la empresa y a la confianza interna.
¿Cómo prevenir el fraude del CEO?
- Verifica siempre la solicitud. Si recibes un mensaje inusual de tu jefe o de un alto cargo pidiendo una transferencia urgente, confirma la veracidad de la orden mediante una llamada telefónica o un canal alternativo.
- Desconfía de la urgencia y el secretismo. Las prisas son la principal arma del estafador. Si lo piensas dos veces, nada es tan urgente y menos un pago de cantidades importantes en un entorno empresarial.
- No te saltes los procedimientos. Aunque la petición venga supuestamente de un superior, aplica siempre los protocolos de autorización y control establecidos en la empresa. Son una garantía ante este tipo de estafas.
- Formación y concienciación. Conocer cómo funciona esta estafa es la mejor herramienta de defensa. Ante la más mínima duda, desconfía y verifica siempre la veracidad de la información.
Una amenaza cada vez más sofisticada
Gracias a la inteligencia artificial, el fraude del CEO ha evolucionado hacía tácticas más sofisticadas. Hoy en día, los delincuentes no solo envían correos electrónicos con enlaces maliciosos, sino que también utilizan deepfakes (vídeos) y deepvoices (grabaciones de voz) para suplantar de manera más realista a directivos en llamadas y mensajes, aumentando la probabilidad de engaño.
En países como Reino Unido ya se han dado casos en los que un director recibió una llamada telefónica con la voz clonada de su jefe solicitando una transferencia millonaria.
La mejor defensa frente a este tipo de engaños es la prevención: verificar, desconfiar de las prisas y mantener una cultura de seguridad en todas las capas de la organización.
Un ejemplo real de fraude del CEO
El INCIBE recoge la historia de una empresa que fue víctima de este fraude. En este caso, un supuesto directivo se puso en contacto con el área financiera exigiendo una transferencia urgente para cerrar una operación estratégica. El mensaje era convincente: mantenía el tono, el estilo de comunicación y los detalles que habitualmente manejaba la compañía. El trabajador, confiado en que respondía a su jefe, ejecutó la transferencia a una cuenta extranjera. Solo más tarde se descubrió que la orden no provenía del directivo, sino de un ciberdelincuente que había logrado suplantar su identidad.
Este caso refleja claramente cómo los delincuentes combinan la presión psicológica, la urgencia y la ingeniería social para manipular a la víctima y obtener beneficios económicos de manera fraudulenta.
