40 casos detectados por la Ertzaintza
La "estafa del CEO" llega al País Vasco
Dos millones de euros de perjuicio a las empresas
![[Img #14834]](https://latribunadelpaisvasco.com/upload/images/11_2018/8120_captura-de-pantalla-2018-11-13-a-las-173644.png?40)
La Ertzaintza está alertando a empresas y organizaciones de todo tipo de la proliferación en el País Vasco de la denominada "estafa del CEO", un engaño informático que este año en Vascongadas ha generado pérdidas de casi dos millones de euros en un total de cuarenta casos registrados. Esta modalidad de estafa, que ataca especialmente a empresas, distintas organizaciones y entidades públicas, se basa en el control remoto del correo electrónico de algún miembro de la dirección para luego desviar pagos a las cuentas de quienes cometen el fraude.
En Guipúzcoa, la Policía autonómica ha recogido un total de 21 denuncias en 2018. El montante total de lo estafado superaría los 800.000 euros, además de otros cuatro casos, en grado de tentativa, en los que los delincuentes habrían intentado apropiarse de otros doscientos treinta mil euros.
En Alava, los datos que maneja la Ertzaintza indican que en 2018 las denuncias presentadas por este tipo de delito ascienden a 12, y la cantidad estafada a los novecientos mil euros.
En Vizcaya se han registrado siete estafas en 2018 de un montante total de 145.000 euros. Dicha cifra se habría disparado en un millón y medio más de euros, de haberse consumado los 3 intentos de estafas detectados por personal de empresas afectadas.
Según ha podido comprobar la Ertzaintza, a partir de las investigaciones llevadas a cabo hasta ahora, la fórmula utilizada por quienes cometen el engaño consiste, en una primera fase, en conseguir acceso a la cuenta de correo electrónico de algún cargo principal de la empresa afectada, mediante la infección de un ordenador o mediante técnicas de ‘phising’ (ingeniería social).
A partir de ahí, los autores del delito hacen un seguimiento del correo de la víctima, de manera que cuando detectan pagos pendientes o periódicos, ya en una segunda fase, suplantan la identidad de la persona afectada y ordena desviar esos pagos a cuentas controladas por los estafadores o estafadoras.
Además, el control que se ejerce sobre el correo de la víctima le puede permitir averiguar la existencia de deudas con terceras personas, el código de la cuenta bancaria de la víctima, su organización u otras organizaciones, lo que a su vez le permitiría extender su actividad de usurpación de identidad a más entidades u ordenar transferencias de dinero a sus cuentas.
Durante todo el tiempo que dura el control del correo electrónico usurpando su identidad, la víctima no es consciente de que esté ocurriendo nada anormal, ya que sigue con su habitual rutina de comunicaciones informárticas.
Como es comprensible, el daño para las empresas es grave, bien sea por el importe de dinero estafado, bien por el control que sobre las comunicaciones de la empresa, especialmente de su personal directivo, o por la necesidad de rehacer totalmente dicho sistema de comunicaciones tras conocer lo sucedido. Además, la probabilidad de recuperar el dinero estafado una vez conocido el ataque es muy baja.
Medidas de protección
Ante este tipo de ataques la Ertzaintza recomienda:
-
Desconfiar de cualquier orden para la ejecución de pagos urgentes no previstos. Comprobar personal o telef´noicamente con el superior.
-
No seguir enlaces insertados en correo electrónico. Teclear manualmente la dirección a la cual se ha de acceder.
-
Desconfiar ante un cambio de cuenta bancaria. Comprobar la veracidad de la misma por otros medios antes de realizar la transferencia.
-
En los trámites bancarios, utilizar las plataformas digitales implementdas por las distintas entidades (banca electrónica) a fin de evitar suplantaciones de identidad.
-
No insertar en los equipos pendrives ni ningún otro dispositivo hallado en la vía pública o en dependencias de la empresa de acceso público, dado que podría ser un ‘caballo de troya’ dispuesto para la infección de un ordenador o toda la intranet.
-
Difundir entre el personal la organización el modus operandi de este tipo de delitos, a fin de que estén prevenidos y puedan adoptar medidas preventivas.
-
Evitar contraseñas predecibles. Jamás anotarlas ni compartirlas.
-
Nunca se debe responder a un correo en el que se solicite la contraseña.
-
No participar en cadenas de mensajes reenviando correos. En caso de tener que enviar un mail a varias personas utiliza el campo ‘CCo’ para evitar dar a conocer la dirección remitente.
La Ertzaintza está alertando a empresas y organizaciones de todo tipo de la proliferación en el País Vasco de la denominada "estafa del CEO", un engaño informático que este año en Vascongadas ha generado pérdidas de casi dos millones de euros en un total de cuarenta casos registrados. Esta modalidad de estafa, que ataca especialmente a empresas, distintas organizaciones y entidades públicas, se basa en el control remoto del correo electrónico de algún miembro de la dirección para luego desviar pagos a las cuentas de quienes cometen el fraude.
En Guipúzcoa, la Policía autonómica ha recogido un total de 21 denuncias en 2018. El montante total de lo estafado superaría los 800.000 euros, además de otros cuatro casos, en grado de tentativa, en los que los delincuentes habrían intentado apropiarse de otros doscientos treinta mil euros.
En Alava, los datos que maneja la Ertzaintza indican que en 2018 las denuncias presentadas por este tipo de delito ascienden a 12, y la cantidad estafada a los novecientos mil euros.
En Vizcaya se han registrado siete estafas en 2018 de un montante total de 145.000 euros. Dicha cifra se habría disparado en un millón y medio más de euros, de haberse consumado los 3 intentos de estafas detectados por personal de empresas afectadas.
Según ha podido comprobar la Ertzaintza, a partir de las investigaciones llevadas a cabo hasta ahora, la fórmula utilizada por quienes cometen el engaño consiste, en una primera fase, en conseguir acceso a la cuenta de correo electrónico de algún cargo principal de la empresa afectada, mediante la infección de un ordenador o mediante técnicas de ‘phising’ (ingeniería social).
A partir de ahí, los autores del delito hacen un seguimiento del correo de la víctima, de manera que cuando detectan pagos pendientes o periódicos, ya en una segunda fase, suplantan la identidad de la persona afectada y ordena desviar esos pagos a cuentas controladas por los estafadores o estafadoras.
Además, el control que se ejerce sobre el correo de la víctima le puede permitir averiguar la existencia de deudas con terceras personas, el código de la cuenta bancaria de la víctima, su organización u otras organizaciones, lo que a su vez le permitiría extender su actividad de usurpación de identidad a más entidades u ordenar transferencias de dinero a sus cuentas.
Durante todo el tiempo que dura el control del correo electrónico usurpando su identidad, la víctima no es consciente de que esté ocurriendo nada anormal, ya que sigue con su habitual rutina de comunicaciones informárticas.
Como es comprensible, el daño para las empresas es grave, bien sea por el importe de dinero estafado, bien por el control que sobre las comunicaciones de la empresa, especialmente de su personal directivo, o por la necesidad de rehacer totalmente dicho sistema de comunicaciones tras conocer lo sucedido. Además, la probabilidad de recuperar el dinero estafado una vez conocido el ataque es muy baja.
Medidas de protección
Ante este tipo de ataques la Ertzaintza recomienda:
-
Desconfiar de cualquier orden para la ejecución de pagos urgentes no previstos. Comprobar personal o telef´noicamente con el superior.
-
No seguir enlaces insertados en correo electrónico. Teclear manualmente la dirección a la cual se ha de acceder.
-
Desconfiar ante un cambio de cuenta bancaria. Comprobar la veracidad de la misma por otros medios antes de realizar la transferencia.
-
En los trámites bancarios, utilizar las plataformas digitales implementdas por las distintas entidades (banca electrónica) a fin de evitar suplantaciones de identidad.
-
No insertar en los equipos pendrives ni ningún otro dispositivo hallado en la vía pública o en dependencias de la empresa de acceso público, dado que podría ser un ‘caballo de troya’ dispuesto para la infección de un ordenador o toda la intranet.
-
Difundir entre el personal la organización el modus operandi de este tipo de delitos, a fin de que estén prevenidos y puedan adoptar medidas preventivas.
-
Evitar contraseñas predecibles. Jamás anotarlas ni compartirlas.
-
Nunca se debe responder a un correo en el que se solicite la contraseña.
-
No participar en cadenas de mensajes reenviando correos. En caso de tener que enviar un mail a varias personas utiliza el campo ‘CCo’ para evitar dar a conocer la dirección remitente.
