Un correo electrónico llega a la bandeja de entrada de un empleado. En el mensaje, el remitente firma como el CEO de la compañía y solicita, con tono urgente y confidencial, la realización de una transferencia bancaria inmediata. Si la persona cae en el engaño, la empresa puede perder grandes sumas de dinero.
Este tipo de fraude, conocido como “fraude del CEO”, es una modalidad avanzada de phishing orientada a quienes poseen acceso a recursos económicos en las empresas. Según el Instituto Nacional de Ciberseguridad de España (INCIBE), genera cada año millones de euros en pérdidas en Europa, con especial incidencia en las pymes.
Asimismo, la sofisticación de estas estrategias y el uso de la ingeniería social, los convierten en una de las consultas empresariales más frecuentes en los servicios de ciberseguridad.
Cómo suplantan a jefes de una empresa para cometer varios delitos
El fraude del CEO consiste en la suplantación de la identidad de un alto directivo como el CEO, presidente o director de una empresa, a través de un correo electrónico dirigido a un empleado que tiene autorización para efectuar pagos o transferencias.
El mensaje solicita una acción financiera urgente y confidencial, buscando evitar cualquier tipo de consulta o validación previa. INCIBE informa que este fraude figura entre los diez temas más consultados por empresas en su servicio ‘Tu Ayuda en Ciberseguridad’, con un incremento sostenido en los últimos años.
Entre las razones de este aumento se destacan la creciente exposición de datos de directivos en redes sociales profesionales y la publicación de organigramas empresariales.
Estos factores facilitan que los ciberdelincuentes diseñen ataques más personalizados y difíciles de detectar, porque disponen de nombres, cargos y detalles internos que usan para simular situaciones financieras legítimas y urgentes.
De qué forma los ciberdelincuentes hacen que los mensajes sean más convincentes
Los atacantes analizan de manera exhaustiva la estructura y actividad de la empresa antes de perpetrar el fraude. Utilizan técnicas de información pública (OSINT) para recopilar datos sobre el organigrama, información de directivos y fechas de ausencias, junto con detalles de clientes y proveedores.
También, monitorizan correos electrónicos e interacciones para entender los flujos de trabajo y las rutinas financieras de los empleados. Una vez identificada la víctima, envían un correo que aparenta total legitimidad, tanto en el formato como en el lenguaje.
Estas comunicaciones incluyen frases como: “Es urgente y confidencial. No informes a nadie” o “Confío en tu gestión, haz la transferencia antes de las 14:00”. De esta forma, se aprovechan de la confianza y la autoridad que tiene el supuesto remitente, y así evitan que el receptor cuestione la autenticidad de la orden.
Por qué las pequeñas empresas son las más vulnerables
Pese a que todas las empresas son blanco potencial de este fraude, las pymes resultan las más afectadas. Esto ocurre por la ausencia de protocolos internos de verificación y la falta de capacitación específica en ciberseguridad.
Un volumen menor de personal lleva a que una sola persona tenga una gran responsabilidad sobre las operaciones financieras y acceso a cuentas relevantes, lo que convierte a ese empleado en objetivo prioritario.
Los expertos revelan que la ausencia de controles de doble validación y la costumbre de asumir comunicaciones urgentes por parte de la alta dirección elevan el riesgo. Además, los recursos limitados hacen más difícil implementar medidas avanzadas de detección, lo que deja a las pymes expuestas a varios ciberataques.
Cómo pueden las empresas evitar caer en estos fraudes
La prevención comienza con la concienciación y la formación en ciberseguridad del personal de la organización, que esté orientada a la detección de correos sospechosos.
Es vital verificar siempre por una vía alternativa cualquier solicitud de pago urgente. Hay que comprobar el dominio del remitente letra por letra, para identificar alteraciones en la dirección de correo.
Además, la aplicación de una regla de doble control en transferencias superiores a un determinado importe, ayuda a reducir el riesgo de amenazas.
Conviene definir procedimientos claros para verificar nuevas cuentas de pago, así como limitar la exposición pública de datos de directivos y procesos internos en la web y redes sociales corporativas.
Últimas Noticias
Centros de datos de IA absorberán hasta el 70% de la memoria producida en 2026
Esta tendencia no solo impactaría en el mercado de PC, sino que, según un informe, también tendría efectos en sectores como la industria automotriz
Estas son las funciones ocultas del botón de control de cámara en iPhone: usarás tu celular de otra manera
Esta opción está disponible desde el iPhone 16 y modelos superiores
La capa de invisibilidad de Harry Potter se hace realidad con esta tecnología
El material creado se califica como un metamaterial, diseñado para manipular la interacción de ondas con las superficies que recubre
Psicosis por IA, el padecimiento que muchos sufren al imaginar escenarios que no son reales
Pacientes manifiestan delirios en los que consideran a los chatbots como entidades conscientes que transmiten secretos
Elon Musk reclama a OpenAI y Microsoft una compensación de hasta USD 134 mil millones
El empresario sostiene que su participación resultó fundamental para el surgimiento y desarrollo de OpenAI, empresa actualmente bajo la dirección de Sam Altman
