El fraude del CEO: así fue el engaño para estafar 4 millones de euros a la EMT de Valencia

«El objetivo es engañar a empleados con acceso a los recursos económicos para que paguen una factura falsa o hagan una transferencia desde la cuenta de la compañía. Para ello el estafador llama o envía correos electrónicos haciéndose pasar por un alto cargo de la compañía». Así describe Interpol la esencia del fraude del CEO (así conocido por la denominación anglosajona del director ejecutivo), la picaresca que ha puesto cuatro millones de la EMT en manos de delincuentes casi de un plumazo.

Miguel Juan es socio director de S2 Grupo, empresa especializada en ciberseguridad que protege, entre otros servicios, los sistemas de la Generalitat. «El fraude del CEO no es nuevo. Desde hace cinco años lo sufren empresas españolas. A nosotros nos llegó una tentativa, pero se frenó a tiempo», asegura. Además de la EMT, «hay otras que han caído en la trampa de los estafadores», reveló el experto.

A grandes rasgos, es una modalidad más avanzada de 'phishing': el envío de correos electrónicos en busca de claves secretas de las víctimas para saquear dinero de sus cuentas. En este caso, el objetivo es toda una empresa, lo que requiere una mayor elaboración.

¿Cómo es posible un desfalco como el de la EMT? Para el responsable de S2 Grupo, «a las empresas y al personal de las empresas todavía les falta concienciación sobre la seguridad». En el engaño a la empresa de transportes ha funcionado lo que, en el argot de la ciberseguridad, se conoce como 'man in the middle'. «Alguien se mete a pinchar las comunicaciones de cuentas de correo, intercepta envíos, los lee y luego lanza un ataque mucho más dirigido», expone. «Estamos hablando de un espionaje puro y duro en el que los organizadores acaban sabiendo quién es el jefe, qué tipo de lenguaje utiliza, detalles personales como su fecha de cumpleaños o vivencias que luego podrán utilizar a su antojo para dar la mayor credibilidad al ataque final».

En el fraude del CEO los estafadores juegan con una baza: la obediencia, a veces ciega, de un empleado hacia el 'jefazo'. Aunque la petición escape a los protocolos habituales. Es aquello de 'si me lo pide el jefe, tendré que obedecer'. Por esto la clave es «la concienciación y advertencia a directivos y empleados sobre los mecanismos de estafa para que se detecten a tiempo».

¿Son suficientemente fuertes los escudos de las mercantiles contra este delito? «Las empresas más grandes suelen tener mejores medidas de seguridad. Por ejemplo, el sector financiero en general, el de los seguros... Pero hay otros, como el industrial o el de la salud, que todavía tienen mucho por recorrer».