Secciones
Servicios
Destacamos
El jefe está reunido con la chica rusa que quería conocerte y el director de banco nigeriano que te ha pedido que le eches una mano. Ella dice que sigue siendo «dulce, amable, tierna y siempre encantada de comunicar que busca un hombre bueno». Por su parte, Jamal Saeed Juma Bin Ghalaita sigue esperando que le respondas sobre esa herencia que tiene a tu nombre y para la que sólo necesita que le adelanten algo de dinero como provisión de fondos para remitírtela. ¿Y tu jefe? Nada, que tiene prisa y te ha mandado un correo electrónico para que se transfieran 200.000 euros ahora mismo a través del enlace que adjunta. Ruega discreción.
El timo que ha afectado a la EMT de Valencia y que ha costado cuatro millones de euros (muy difícilmente recuperables) es el resultado de un fraude denominado 'la estafa del CEO', que busca acceder a las cuentas por medio de cualquier empleado de una compañía, especialmente de los que tengan acceso a recursos económicos y financieros. El delincuente puede simplemente querer que se emita un pago o la información necesaria para hacerlo y servirse él mismo de las cantidades que quiera de los fondos de la firma. Esto último se llama la técnica del 'man in the middle', alguien que se cuela en medio como un espía para ver, oír, callar... y pasar a la acción. Exactamente lo que pasó en el caso de la EMT de Valencia.
Aunque los que llegan al correo de cualquiera suplantan a entidades financieras o proveedores de servicios como la luz, el agua o el gas se llaman 'phishing', los que llegan simulando ser un alto cargo o contable de la empresa con capacidad para hacer transferencias de relevancia de denominan 'whaling'. Éste es el nombre que se da a los buques balleneros en inglés y, por analogía, se asocia a la pesca de 'peces gordos'.
La fórmula no es nueva y el propio Instituto Nacional de Ciberseguridad (Incibe) lleva alertando de ella desde 2017, aunque es un ardid que, con la evolución que permite la tecnología, se repite desde hace 200 años. Primero fue por carta y la aparición de internet permitió su extensión por correo electrónico. Si en el siglo XIX el caco vigilaba que saliera la calesa del patrón hacia la sierra, ahora se puede estar cómodamente a miles de kilómetros y con miles de objetivos abiertos al mismo tiempo.
La directora de Sistemas de Información de la empresa valenciana Cárnicas Serrano, María Jesús Sanantonio, reconoce que los ataques de 'phishing' a particulares y empresas están siendo especialmente sonados en 2019. Sin embargo, la solución está en gran medida de puertas para adentro. «La compañía recuerda periódicamente a los empleados, que son el eslabón más débil en la cadena de la ciberseguridad, cómo detectar los correos fraudulentos, cuáles son los principales riesgos y cómo actuar si se recibe uno, incluso si no se detecta a tiempo, y comunicándolo al departamento de informática de inmediato para actuar con celeridad», señala.
Aunque, el problema, según fuentes de otra compañía, es que el empleado (que suele terminar despedido) no siempre es consciente de que está siendo víctima de un caso de suplantación de identidad. «Las empresas en las que la dirección se ejerce por el 'ordeno y mando' son las que más fácilmente pueden acabar cayendo en la trampa», advierte. Y es que la forma más sencilla y sensata para poder evitarlo es contar con una segunda firma de control y preguntar cara a cara o por teléfono al responsable de la empresa que remite la orden si ha sido él el autor del correo. Sin embargo, si el directivo en cuestión suele tratar con cajas destempladas al empleado o es alguien susceptible que puede interpretar la media como un cuestionamiento de su decisión, lo que parece más fácil y 'seguro' es hacer clic.
El sector industrial y las pequeñas y medianas empresas son los grupos que deben mejorar su seguridad ante ataques informáticos. «Fábricas y también el sector sanitario aún tienen camino por recorrer. En el lado opuesto, los sectores más seguros son el financiero y la administración», estima Miguel Ángel Juan, socio director de S2 grupo, empresa que pone el escudo telemático a la Generalitat.
Pese a todo, hemos avanzado. El Global Cibersecurity Index sitúa a España como séptimo país del mundo y quinto de Europa con mejor protección ante los ciberataques. Un informe sobre Riesgos de Seguridad de Kaspersky Lab revela que las empresas pequeñas están significativamente menos preocupadas por las actividades de los empleados que provocan brechas de seguridad. Sólo un 36% están pendientes de posibles descuidos de sus trabajadores en el manejo de tecnologías de comunicación.
El estudio anota otro dato relevante: más de la mitad de los negocios que habían experimentado un incidente de ciberseguridad «admitió que el comportamiento descuidado y la desinformación de los trabajadores contribuyó a ello».
Para Juan, «no basta con tener un sistema de seguridad interno. Hoy en día es preciso asesorar, concienciar e informar a los trabajadores sobre riesgos y métodos de engaño que evolucionan constantemente». Según el experto, «se ha comprobado que basta con dejar en un ascensor un lápiz de memoria con una etiqueta que ponga 'confidencial' y que contenga un programa malicioso para que algún empleado, por la simple curiosidad, lo inserte en un ordenador».
La tensión es clave para estos timos y, aunque hay ejemplos en los que se demanda el dinero para la adquisición de una empresa, es más habitual que puedan darse casos, siempre con las características de «urgencia y confidencialidad», para solucionar algún problema fiscal o evitar alguna sanción a contra reloj.
En todo caso, el departamento de IT de la empresa agroalimentaria valenciana Dacsa apunta que lo que nunca hay que hacer es confirmar por medio de una respuesta directa al correo que se ha recibido. Por el contrario, hay que verificar el emisor del 'email', confirmando la dirección.
«Los nombres de los directivos de las empresas son de dominio público, aparecen en la prensa, en la página web, en congresos, etc», alerta Incibe. De hecho, muchas empresas extreman la precaución cuando sus directivos van a aparecer en público en mesas redondas o actos institucionales en los que no podrán echar mano del teléfono.
Dependiendo de lo elaborado del fraude, se puede descubrir que se ha cambiado el nombre, pero no el correo. Sin embargo, puede ocurrir que se intente también suplantar la dirección de correo con alguna de tipografía similar, cambiando letras en el dominio o en el nombre, por ejemplo: en lugar de enviar desde pepe.perez@incibe.es, puede llegar como pepe.perez@icibe.es, un dominio que se ha dado de alta cambiando una letra (falta la 'n') que no corresponde a nadie.
Precisamente es lo que ha pasado en el caso de la EMT, donde la jefa de administración recibió un correo desde la dirección electrónica ggiuseppe@emt.valencia.es, que no se corresponde con el del concejal y presidente de la empresa pública de transportes, Giuseppe Grezzi. Desde Incibe se apunta que, en los trabajos más finos, es frecuente que se incluyan datos personales o simulen el estilo de redacción del jefe suplantado, si con anterioridad han podido espiar los correos electrónicos de la empresa.
La cosa se complica además, si se opta por horarios fuera de la oficina en los que el empleado esté viendo el correo a través del teléfono móvil, ya que no podrá corroborar a simple vista que la dirección del correo de origen es la correcta, a no ser que haga clic sobre el nombre del remitente y despliegue todo el campo.
En todo caso, aunque se hagan campañas de comunicación y concienciación, tanto en Cárnicas Serrano como en Dacsa, se generan falsos ataques para ver quién cae en la trampa y hasta dónde puede llegar la vulnerabilidad de la organización. Así se puede explicar a la plantilla las posibles consecuencias, en el caso de que la intromisión y obtención de los datos hubiera sido real.
Igualmente, en la arrocera se tiene diseñado un procedimiento ante el cambio de cuentas corrientes de proveedores, ya que el suplantado puede ser una empresa con la que se tenga una relación habitual, y para pagos urgentes por parte de directivos del departamento financiero.
Cárnicas Serrano se apoya también en empresas tecnológicas especializadas en 'pentesting' o tests de penetración que se encargan de atacar desde fuera los diversos sistemas de información de la compañía con la intención de descubrir fallos y vulnerabilidades y actuar en consecuencia. En ese caso no sólo se trata de 'phishing' y 'whaling', sino de ataques convencionales de 'hackers' que buscan robar datos, dinero o, simplemente, molestar sin importarles que las consecuencias de sus actos puedan ser definidas directamente como sabotajes.
Aunque parezca un tópico, desde los departamentos de informática se insiste en que todas las empresas, por encima del tamaño que tengan, dispongan de un Plan Director de Seguridad y, lo que es más importante, que se tenga al día y se tomen los medios necesarios para comprobar de forma constante que se cumpla. Fruto de este apartado se puede desprender la necesidad de un control y monitorización permanente ante los ataques, comportamientos sospechosos, intentos de intrusión y revisión de vulnerabilidades, por medio de CiberSOC, como se denomina técnicamente a las plataformas de monitorización continua.
A esto hay que añadir la ejecución de planes de acción mensual para reducir vulnerabilidades y dar la vuelta a las alfombras cada poco tiempo. Otro caso es la puesta al día de los programas antivirus, anti spam, antiransomware (contra extorsiones por programas espía), etc, en todos los sistemas de la empresa, pero también en los terminales a través de los que puedan acceder los trabajadores desde fuera. Además, para tener un plan B, se debe disponer de copias de seguridad totales y distribuidas geográficamente. Toda precaución es poca.
Al final, quien mueve el dinero es el banco y muchos clientes afectados por estafas digitales como la del CEO acaban llamando a su puerta para que les dé soluciones. Desde las entidades hace años que se están haciendo campañas entre los ahorradores y empresas para advertir de los riesgos que tiene para su actividad y, en algunos casos, se ofrecen sistemas extra de control y seguros que cubran el posible desfalco o un porcentaje de él.
Caixabank, entidad con la que se hicieron las operaciones en el caso de la EMT de Valencia y contra la que carga el concejal y presidente de la EMT, Giuseppe Grezzi, inició en 2015 la formación para empleados a través del Programa InfoProtect para detectar intrusiones o actividades anómalas, que ha extendido en 2019 a sus clientes con el envío de notificaciones trimestrales, la última de las cuales ha tratado del 'phishing', justo después de producirse el caso valenciano.
También se trabajan la parte de formación preventiva Bankia, Sabadell o Santander, que hizo una campaña específica este verano a través de sus redes sociales y ultima otra con ocasión de Halloween. Las propias entidades son usadas como gancho en más de un 20% de las ocasiones y eso también repercute en su seguridad. A su vez, BBVA ofrece un seguro específico (CyberSeguro BBVA) pensado para cubrir los daños producidos contra autónomo y empresas que puede llegar a cubrir hasta 1,2 millones de euros, en determinadas condiciones.
Publicidad
Publicidad
Te puede interesar
Publicidad
Publicidad
Esta funcionalidad es exclusiva para suscriptores.
Reporta un error en esta noticia
Comentar es una ventaja exclusiva para suscriptores
¿Ya eres suscriptor?
Inicia sesiónNecesitas ser suscriptor para poder votar.