Suele ser habitual que empresas como KPMG, Deloitte, PWC o Ernst & Young asesoren a grandes empresas en compras internacionales. Bajo esta máscara, la compañía farmacéutica Zendal, ha sido objeto de una millonaria estafa, al ser engañado el Director Financiero y lograr que, en cuatro días, del 19 al 23 de noviembre pasados, realizara una veintena de transferencias por un valor total de 9,7 MM de euros con una metodología conocida como el timo del C.E.O.

¿Cómo se llevó a cabo el timo?

Los estafadores se valieron de la imagen de seriedad de la compañía suplantada para llevar a cabo su millonario plan. Por una parte, suplantaron la identidad del responsable de la empresa (CEO) creando una cuenta de correo electrónico corporativo desde la que ordenaron a su subordinado que realizase las transferencias con total discreción. Por otra, se hicieron pasar por auditores de KPMG para girar por vía telemática las órdenes de pago y las correspondientes facturas falsas. El empleado de la empresa confió ciegamente en las órdenes recibidas y atendió todos los requerimientos de pago que le venían llegando desde la cuenta falsa de KPMG creada por los hackers. Aunque la estafada no ha dicho nada más, es más que probable que estuviese de por medio el argumento de la confidencialidad ante la adquisición inmediata de una nueva empresa.

El fraude se descubrió porque, ante la falta de liquidez, el director financiero decidió hablar personalmente del asunto con su jefe, que negó haber ordenado que efectuara ningún pago a ninguna empresa. En ese momento, ya era tarde.

Este tipo de estafa es conocida como el Timo del CEO y está resultando un modelo de ataque muy lucrativo para los ciberdelincuentes.

Ataque a la EMT de la ciudad de Valencia

En septiembre de 2019, La Empresa Municipal de Transportes (EMT) de Valencia sufrió una estafa millonaria por el mismo procedimiento: su jefa de administración transfirió (varía según las fuentes) entre 4 y 5 millones € en 8 transferencias a una cuenta bancaria del Bank of China, sita en Hong Kong, creyendo que participaba en una operación de compra de una sociedad, y que esta era confidencial y secreta, ya que así se lo indicaba en un correo Giuseppe Grezzi, su máximo responsable, consejero de Movilidad Sostenible del Ayuntamiento de Valencia.

Es el mismo “modus operandi”: el estafador llama o envía correos electrónicos haciéndose pasar por un alto cargo de la compañía (p. ej. El CEO) y solicita que se haga un pago urgente (a un banco internacional fuera de UE) o que le envíe determinada información confidencial. También le indica al empleado que no siga los procedimientos de autorización habituales. Las instrucciones sobre cómo proceder puede darlas posteriormente una tercera persona (en el caso anterior KPMG) y usa expresiones como “Confidencialidad”, “La compañía confía en ti”, “Ahora mismo no estoy disponible” y suele hacer referencia a una situación delicada (p. ej. una inspección fiscal, una fusión o una adquisición).

El estafador estudia sus víctimas

Por supuesto, el estafador conoce bien cómo funciona la organización. Lo más habitual es que tenga monitorizados los correos electrónicos (que previamente ha hackeado) y haya estado varios meses accediendo al mail de Grezzi, (junto al de otros miembros de la EMT) para estudiar sus patrones de conducta, tanto en su forma de escribir, como en sus mandatos, pero sobre todo su relación profesional con la jefa de administración, para que cuando llevaran a cabo la suplantación esta no sospechara nada, como así fue.

En este caso, además, la jefa de administración fue despedida fulminantemente (por hacer caso de lo que le decía su jefe, o así lo creyó ella), cuando el origen estuvo en un fallo de seguridad que ocasionaba una brecha de seguridad informática de primer nivel “Epic Fails”, en los servidores de correo electrónico del todo poderoso ayuntamiento de Valencia.

Pero, ¿y si hubieran hackeado todas las cuentas de correo de todos los concejales del ayuntamiento de valencia para ver cuál era el eslabón más débil? ¿Y, por qué se eligió la cuenta de Grezzi y como víctima la de la jefe de administración de la EMT? ¿Y por qué la EMT y no otra?

Este tipo de cibercrimen está muy trabajado. No es una casualidad como el del “phishing” tradicional que realizan envíos masivos indiscriminados. En el fraude del CEO existe un trabajo previo de selección de la empresa y elección de la víctima.

Se añade, la posibilidad de que los hackers hayan accedido a otro tipo de información como la de carácter personal o confidencial de ambas, EMT y Ayuntamiento. En ese caso es imperativo comunicar a la AEPD, Agencia Española de Protección de Datos) el fallo de seguridad y esperar que no lleguen reclamaciones civiles de los perjudicados.

¿Se puede recuperar algo?

Llegados a este punto, nada. Estas bandas de delincuencia organizada cometen sus delitos desde la Deep y la Dark Web y suelen tener su central de operaciones física en países africanos (Nigeria fundamentalmente). La brigada de delitos telemáticos tendrá fácil descubrir la IP con la que se ha realizado el hackeo, a cuantos y a quienes, pero lo normal es que esta IP esta alojada en Nigeria, Gambia, Zimbabue …etc. donde una vez llegado allí, se perderá todo rastro de su titular.

Lo mismo pasará con el dinero, nada que hacer. Una vez llegado a Hong Kong, que es un paraíso fiscal, en el caso que se pida comisión rogatoria, no tendremos respuesta, porque existe el secreto bancario. Es más, aunque nos dieran acceso a las cuentas, lo normal es que utilicen cuentas móviles o de salto, es decir, que cambian o saltan de país en país, para dificultar su trazabilidad final y por supuesto el vaciado de las mismas es  inmediato.

Y ya para terminar, algo nos dice muy claramente que no se tenía implantada en la EMT ninguna alerta temprana o doble control de pagos. Fue el propio banco quien avisó de que se estaban realizando transferencias inusuales (fuera del patrón financiero particular de la EMT). Y menos mal, ya que el daño hubiera podido ser mayor.

¿Cómo se evita el timo del C.E.O?

Con la concienciación de la dirección de la empresa en la prevención, la información y la formación de los empleados.

¿Qué señales nos pueden alertar?

• Una llamada telefónica o un correo no solicitado.
• Presión y carácter de urgencia.
• Comunicación directa con un alto cargo con el que normalmente no estás en contacto.
• Solicitud fuera de lugar que contradice los procedimientos internos.
• Solicitud de absoluta confidencialidad.
• Amenazas, comentarios aduladores o promesas de recompensa.

¿Qué puedo hacer como empleado?

• No compartas información sobre el organigrama, la seguridad y los procedimientos de tu compañía.
• No abras nunca enlaces o adjuntos sospechosos recibidos por correo.
• Nunca consultes tu correo personal en los ordenadores de la empresa.
• Revisa siempre con cuidado las direcciones de correo cuando manejes información delicada o hagas transferencias.
• En caso de duda sobre una orden de transferencia, consulta a un compañero experto o con quien te la he enviado.
• Respeta estrictamente los procedimientos de seguridad vigentes para los pagos y las compras. No te saltes ningún paso y no cedas a la presión.
• Limita la información y sé cauto en las redes sociales.
• Si recibes un correo o una llamada sospechosa, informa siempre al departamento de informática.

¿Qué puedo hacer como empresa?

• Implanta un procedimiento para verificar la legitimidad de las solicitudes de pago recibidas por correo.
• Anima a tus equipos a ser precavidos cuando les soliciten un pago.
• Implanta protocolos internos/externos para los pagos.
• Mejora y mantén al día la seguridad de tus sistemas.
• Sé consciente de los riesgos y asegúrate de que los empleados estén también concienciados, fórmalos.
• Contacta siempre con la policía en caso de intento de fraude, incluso si has logrado evitarlo.
• Revisa el contenido del portal web de tu empresa, limita la información y sé cauteloso en las redes sociales.
• Establece procedimientos para gestionar el fraude y contacta con profesionales de la prevención del delito.

Foto de Tecnología creado por freepik – www.freepik.es