El fraude del CEO (Chief Executive Officer, en español Director Ejecutivo) es una técnica de ingeniería social que utilizan los delincuentes cibernéticos para engañar a los empleados de una organización para que realicen transferencias bancarias o divulguen información confidencial.
Este tipo de fraude comienza con la suplantación de la identidad del CEO o de algún otro alto ejecutivo de la empresa, mediante la utilización de técnicas de phishing o spear phishing, en el que se envía un correo electrónico que parece legítimo pero que en realidad es falso.
Características del fraude del CEO
Es importante que las empresas y las personas estén conscientes de las características y tomen medidas para verificar la autenticidad de las solicitudes financieras y confidenciales. Las características del fraude del CEO son:
- Suplantación de identidad: Los estafadores se hacen pasar por el CEO u otros altos ejecutivos de la empresa, utilizando direcciones de correo electrónico falsificadas o números de teléfono para parecer legítimos.
- Ingeniería social: Los estafadores utilizan tácticas de manipulación psicológica para crear un sentido de urgencia o confianza en la víctima. Pueden apelar a la lealtad, la confidencialidad o la necesidad de cumplir con una solicitud importante.
- Correo electrónico falso: Por lo general, el fraude del CEO involucra el envío de correos electrónicos falsificados que parecen provenir del CEO o de otros ejecutivos de la empresa. Estos correos electrónicos pueden incluir logotipos y formatos similares a los de la empresa real.
- Urgencia: Los estafadores a menudo presentan la solicitud como una situación urgente que requiere acción inmediata. Esto puede presionar a la víctima para que no cuestione la solicitud y actúe rápidamente.
- Confidencialidad: Los estafadores pueden solicitar a la víctima que mantenga la solicitud en secreto o que no la comparta con otros empleados. Esto puede hacer que la víctima sea menos propensa a verificar la autenticidad de la solicitud.
- Transferencias de dinero: La solicitud típica en el fraude del CEO implica una transferencia de dinero a una cuenta bancaria controlada por los estafadores. Esto puede ser una suma significativa de dinero de la empresa.
- Amenazas y coacción: En algunos casos, los estafadores pueden utilizar amenazas sutiles para presionar a la víctima a cumplir con la solicitud, como insinuar que la no conformidad resultará en consecuencias negativas.
- Falsificación avanzada: Los estafadores investigan a la empresa y a sus ejecutivos antes de llevar a cabo el fraude, lo que les permite personalizar mejor sus correos electrónicos y hacer que parezcan más convincentes.
- Falta de verificación: La urgencia y la aparente autoridad del CEO pueden llevar a las víctimas a no verificar adecuadamente la autenticidad de la solicitud, lo que facilita que los estafadores logren su objetivo.
Objetivos del fraude del CEO
Los objetivos del fraude del CEO pueden ser a corto, mediano o largo plazo, y varían según el contexto y la entidad que los establece. Algunos objetivos son:
Objetivos personales
Los individuos establecen objetivos personales para mejorar su calidad de vida, desarrollar habilidades, alcanzar metas profesionales, mejorar su salud, relaciones o bienestar emocional.
Objetivos empresariales
Las empresas establecen objetivos para lograr el crecimiento, aumentar la rentabilidad, mejorar la eficiencia operativa, expandirse a nuevos mercados o lanzar nuevos productos y servicios.
Objetivos organizacionales
Las organizaciones sin fines de lucro, instituciones gubernamentales y otras entidades establecen objetivos para cumplir su misión, proporcionar servicios a la comunidad, mejorar la satisfacción del cliente o ciudadano, y lograr resultados específicos en áreas como la educación, la salud y la seguridad.
Objetivos de marketing
Las empresas definen objetivos de marketing para aumentar la conciencia de marca, adquirir nuevos clientes, retener a los clientes existentes, mejorar la participación en las redes sociales o aumentar las ventas.
Objetivos académicos
Los estudiantes y las instituciones educativas establecen objetivos académicos para lograr un rendimiento académico específico, obtener títulos o certificaciones, o avanzar en la investigación y el conocimiento en un campo particular.
Objetivos de desarrollo personal
Las personas establecen objetivos de desarrollo personal para mejorar sus habilidades, conocimientos y experiencias en áreas como el deporte, la música, el arte, la cocina o cualquier otro interés.
Objetivos de salud y bienestar
Las personas pueden tener objetivos relacionados con su salud física y mental, como perder peso, mantenerse activas, dejar de fumar o reducir el estrés.
Objetivos financieros
Tanto individuos como empresas establecen objetivos financieros para ahorrar dinero, invertir, pagar deudas, alcanzar ciertos ingresos, jubilarse cómodamente o lograr la estabilidad financiera.
Ejemplos del fraude del CEO
El fraude del CEO afecta tanto a empresas grandes como pequeñas, pero las organizaciones de mayor tamaño pueden llegar a perder millones con tan solo un ataque que tenga éxito. Por ejemplo, el CFO (director de finanzas) de Xoom fue víctima y transfirió 30 millones de USD a cuentas bancarias en el extranjero antes de darse cuenta de que era una estafa. Eventualmente le hicieron renunciar.
Otra empresa de San Francisco, Ubiquiti, fue víctima de una estafa del CEO y transfirieron 46 millones de USD a cuentas extraterritoriales de los atacantes. En este ataque, Ubiquiti pudo trabajar con los bancos y las autoridades para recuperar aproximadamente 10 millones, pero sus pérdidas netas se cifraron en 30 millones de dólares a causa del fraude.