Un correo electrónico llega a la bandeja de entrada de un empleado. En el mensaje, el remitente firma como el CEO de la compañía y solicita, con tono urgente y confidencial, la realización de una transferencia bancaria inmediata. Si la persona cae en el engaño, la empresa puede perder grandes sumas de dinero.
Este tipo de fraude, conocido como “fraude del CEO”, es una modalidad avanzada de phishing orientada a quienes poseen acceso a recursos económicos en las empresas. Según el Instituto Nacional de Ciberseguridad de España (INCIBE), genera cada año millones de euros en pérdidas en Europa, con especial incidencia en las pymes.
Asimismo, la sofisticación de estas estrategias y el uso de la ingeniería social, los convierten en una de las consultas empresariales más frecuentes en los servicios de ciberseguridad.
Cómo suplantan a jefes de una empresa para cometer varios delitos
El fraude del CEO consiste en la suplantación de la identidad de un alto directivo como el CEO, presidente o director de una empresa, a través de un correo electrónico dirigido a un empleado que tiene autorización para efectuar pagos o transferencias.
El mensaje solicita una acción financiera urgente y confidencial, buscando evitar cualquier tipo de consulta o validación previa. INCIBE informa que este fraude figura entre los diez temas más consultados por empresas en su servicio ‘Tu Ayuda en Ciberseguridad’, con un incremento sostenido en los últimos años.
Entre las razones de este aumento se destacan la creciente exposición de datos de directivos en redes sociales profesionales y la publicación de organigramas empresariales.
Estos factores facilitan que los ciberdelincuentes diseñen ataques más personalizados y difíciles de detectar, porque disponen de nombres, cargos y detalles internos que usan para simular situaciones financieras legítimas y urgentes.
De qué forma los ciberdelincuentes hacen que los mensajes sean más convincentes
Los atacantes analizan de manera exhaustiva la estructura y actividad de la empresa antes de perpetrar el fraude. Utilizan técnicas de información pública (OSINT) para recopilar datos sobre el organigrama, información de directivos y fechas de ausencias, junto con detalles de clientes y proveedores.
También, monitorizan correos electrónicos e interacciones para entender los flujos de trabajo y las rutinas financieras de los empleados. Una vez identificada la víctima, envían un correo que aparenta total legitimidad, tanto en el formato como en el lenguaje.
Estas comunicaciones incluyen frases como: “Es urgente y confidencial. No informes a nadie” o “Confío en tu gestión, haz la transferencia antes de las 14:00”. De esta forma, se aprovechan de la confianza y la autoridad que tiene el supuesto remitente, y así evitan que el receptor cuestione la autenticidad de la orden.
Por qué las pequeñas empresas son las más vulnerables
Pese a que todas las empresas son blanco potencial de este fraude, las pymes resultan las más afectadas. Esto ocurre por la ausencia de protocolos internos de verificación y la falta de capacitación específica en ciberseguridad.
Un volumen menor de personal lleva a que una sola persona tenga una gran responsabilidad sobre las operaciones financieras y acceso a cuentas relevantes, lo que convierte a ese empleado en objetivo prioritario.
Los expertos revelan que la ausencia de controles de doble validación y la costumbre de asumir comunicaciones urgentes por parte de la alta dirección elevan el riesgo. Además, los recursos limitados hacen más difícil implementar medidas avanzadas de detección, lo que deja a las pymes expuestas a varios ciberataques.
Cómo pueden las empresas evitar caer en estos fraudes
La prevención comienza con la concienciación y la formación en ciberseguridad del personal de la organización, que esté orientada a la detección de correos sospechosos.
Es vital verificar siempre por una vía alternativa cualquier solicitud de pago urgente. Hay que comprobar el dominio del remitente letra por letra, para identificar alteraciones en la dirección de correo.
Además, la aplicación de una regla de doble control en transferencias superiores a un determinado importe, ayuda a reducir el riesgo de amenazas.
Conviene definir procedimientos claros para verificar nuevas cuentas de pago, así como limitar la exposición pública de datos de directivos y procesos internos en la web y redes sociales corporativas.
Últimas Noticias
NemoClaw, el nuevo proyecto de Nvidia para desafiar a OpenClaw en el desarrollo de agentes de IA
El sistema permitiría desplegar agentes de IA capaces de interactuar con aplicaciones, coordinar procesos y ejecutar tareas automatizadas
Fortnite sube el precio de los paVos por costos de mantenimiento del juego en marzo 2026
Por 8,99 euros, los usuarios ahora van a obtener 800 paVos, en vez de 1.000. Esta es la moneda digital del juego que permite comprar elementos
Anthropic advierte: la inteligencia artificial ya reemplaza tareas en la mitad de los empleos de oficina
Aunque no hay despidos masivos inmediatos, la reducción de oportunidades y la “puerta cerrada” a los más jóvenes marcan una transición silenciosa
Filtran seis juegos que llegarían a PlayStation Plus Extra y Premium en marzo
Persona 5 Royal sería uno de los principales añadidos al catálogo de la suscripción de Sony
La inteligencia artificial obliga a las grandes empresas de Estados Unidos a replantear cuántos empleados necesitan
El avance de la automatización en las principales compañías exige que los trabajadores adquieran conocimientos técnicos y capacidad para gestionar procesos complejos, ya que los puestos rutinarios pierden terreno. Adaptar el perfil profesional es clave para acceder a nuevas oportunidades laborales
