Un correo electrónico llega a la bandeja de entrada de un empleado. En el mensaje, el remitente firma como el CEO de la compañía y solicita, con tono urgente y confidencial, la realización de una transferencia bancaria inmediata. Si la persona cae en el engaño, la empresa puede perder grandes sumas de dinero.
Este tipo de fraude, conocido como “fraude del CEO”, es una modalidad avanzada de phishing orientada a quienes poseen acceso a recursos económicos en las empresas. Según el Instituto Nacional de Ciberseguridad de España (INCIBE), genera cada año millones de euros en pérdidas en Europa, con especial incidencia en las pymes.
Asimismo, la sofisticación de estas estrategias y el uso de la ingeniería social, los convierten en una de las consultas empresariales más frecuentes en los servicios de ciberseguridad.
Cómo suplantan a jefes de una empresa para cometer varios delitos
El fraude del CEO consiste en la suplantación de la identidad de un alto directivo como el CEO, presidente o director de una empresa, a través de un correo electrónico dirigido a un empleado que tiene autorización para efectuar pagos o transferencias.
El mensaje solicita una acción financiera urgente y confidencial, buscando evitar cualquier tipo de consulta o validación previa. INCIBE informa que este fraude figura entre los diez temas más consultados por empresas en su servicio ‘Tu Ayuda en Ciberseguridad’, con un incremento sostenido en los últimos años.
Entre las razones de este aumento se destacan la creciente exposición de datos de directivos en redes sociales profesionales y la publicación de organigramas empresariales.
Estos factores facilitan que los ciberdelincuentes diseñen ataques más personalizados y difíciles de detectar, porque disponen de nombres, cargos y detalles internos que usan para simular situaciones financieras legítimas y urgentes.
De qué forma los ciberdelincuentes hacen que los mensajes sean más convincentes
Los atacantes analizan de manera exhaustiva la estructura y actividad de la empresa antes de perpetrar el fraude. Utilizan técnicas de información pública (OSINT) para recopilar datos sobre el organigrama, información de directivos y fechas de ausencias, junto con detalles de clientes y proveedores.
También, monitorizan correos electrónicos e interacciones para entender los flujos de trabajo y las rutinas financieras de los empleados. Una vez identificada la víctima, envían un correo que aparenta total legitimidad, tanto en el formato como en el lenguaje.
Estas comunicaciones incluyen frases como: “Es urgente y confidencial. No informes a nadie” o “Confío en tu gestión, haz la transferencia antes de las 14:00”. De esta forma, se aprovechan de la confianza y la autoridad que tiene el supuesto remitente, y así evitan que el receptor cuestione la autenticidad de la orden.
Por qué las pequeñas empresas son las más vulnerables
Pese a que todas las empresas son blanco potencial de este fraude, las pymes resultan las más afectadas. Esto ocurre por la ausencia de protocolos internos de verificación y la falta de capacitación específica en ciberseguridad.
Un volumen menor de personal lleva a que una sola persona tenga una gran responsabilidad sobre las operaciones financieras y acceso a cuentas relevantes, lo que convierte a ese empleado en objetivo prioritario.
Los expertos revelan que la ausencia de controles de doble validación y la costumbre de asumir comunicaciones urgentes por parte de la alta dirección elevan el riesgo. Además, los recursos limitados hacen más difícil implementar medidas avanzadas de detección, lo que deja a las pymes expuestas a varios ciberataques.
Cómo pueden las empresas evitar caer en estos fraudes
La prevención comienza con la concienciación y la formación en ciberseguridad del personal de la organización, que esté orientada a la detección de correos sospechosos.
Es vital verificar siempre por una vía alternativa cualquier solicitud de pago urgente. Hay que comprobar el dominio del remitente letra por letra, para identificar alteraciones en la dirección de correo.
Además, la aplicación de una regla de doble control en transferencias superiores a un determinado importe, ayuda a reducir el riesgo de amenazas.
Conviene definir procedimientos claros para verificar nuevas cuentas de pago, así como limitar la exposición pública de datos de directivos y procesos internos en la web y redes sociales corporativas.
Últimas Noticias
Adolescentes acusan al chatbot Grok de Elon Musk de generar imágenes sexuales de ellos siendo menores
Según la denuncia, gran parte de esas imágenes manipuladas circularon en plataformas como Discord y Telegram
Expertos revelan cómo interactuar con la IA para aprovechar todo su potencial
Los modelos modernos han avanzado en la comprensión de instrucciones y son menos susceptibles a ser “influenciados” por cambios sutiles en el tono
Nokia 1100 en 2026: ¿es posible usar hoy este celular y dónde comprarlo?
Este dispositivo ha revivido gracias al interés en plataformas de compraventa online y subastas tecnológicas
Correr con Apple: así cambiará tu experiencia en la Maratón de Londres con el nuevo socio tecnológico
Esta alianza estratégica refuerza el compromiso de ambas organizaciones por fomentar la actividad física y brindar herramientas de salud a deportistas
Tu celular Android tiene un truco con IA para traducir texto al instante con un solo gesto
Esta herramienta es útil para entender textos cortos sin tener que salir de una aplicación o el navegador
