Desde la Jefatura Superior de Policía Nacional de Galicia informan que han sido detectados en la comunidad numerosos casos relacionados con este tipo de fraudes, dirigidos a trabajadores, tanto de grandes empresas como de pymes.
Este fraude tiene como objetivo engañar a empleados que tienen acceso a los recursos económicos de una empresa, para que paguen una factura falsa o hagan una transferencia desde la cuenta de la compañía.
En una primera fase, el estafador recopila información de su objetivo, que obtiene accediendo a él normalmente por uno de sus eslabones más débiles, su email. Haciéndose pasar por un cliente o proveedor, enviará un correo electrónico a la empresa que contendrá un enlace o archivo adjunto. Si el empleado que lo recibe abre el mismo, se ejecutará de forma silenciosa un programa malicioso que le dará acceso a la información de la empresa y a su organización.
Después, conociendo las rutinas y tiempos de la empresa, el estafador utilizará esta información en su beneficio, haciéndose pasar, por ejemplo, por un proveedor al que se le debe un pago, pero que desea cambiar la cuenta de ingreso; o bien por algún empleado que quiere que su nómina sea ingresada en otra cuenta. De este modo, los delincuentes consiguen que las empresas ingresen el dinero directamente en sus cuentas.
Un tipo específico de esta estafa, es el llamado fraude del “CEO”. En él, el estafador llamará o enviará correos electrónicos haciéndose pasar por el jefe o por un alto cargo de la compañía, solicitando un pago urgente haciendo referencia a una situación delicada (una inspección fiscal, una fusión, adquisición…). Requiere un trabajo mayor por parte de los estafadores, pero supone pérdidas económicas millonarias cuando se efectúa el engaño.
Medidas de seguridad a adoptar
Tanto empresas como trabajadores, debería tener en cuenta lo siguiente para protegerse de este fraude:
- Establecimiento de protocolos de doble control de pagos, estableciendo normas para que varios miembros de una empresa hagan comprobaciones antes de realizar transferencias o pagos de dinero.
- Verificación de las peticiones que parezcan ser de acreedores, en especial si piden cambiar los datos bancarios para próximas facturas.
- Formación de personal, informando a los trabajadores de las empresas de la amenaza y realizando simulaciones de ataques BEC, concienciando a toda la organización del peligro que suponen. No se deben usar los datos de contacto de un correo que solicita un cambio. En lugar de estos, es recomendable utilizar los de correos anteriores.
- Monitorización de patrones anómalos de correos para así poder detectar este tipo de ataques.
- Uso de servicios que bloquean correos electrónicos sospechosos, validando los correos electrónicos y minimizando el riesgo de suplantación de identidades.
- Uso de contraseñas fuertes y su cambio regular.
