Un correo electrónico llega a la bandeja de entrada de un empleado. En el mensaje, el remitente firma como el CEO de la compañía y solicita, con tono urgente y confidencial, la realización de una transferencia bancaria inmediata. Si la persona cae en el engaño, la empresa puede perder grandes sumas de dinero.
Este tipo de fraude, conocido como “fraude del CEO”, es una modalidad avanzada de phishing orientada a quienes poseen acceso a recursos económicos en las empresas. Según el Instituto Nacional de Ciberseguridad de España (INCIBE), genera cada año millones de euros en pérdidas en Europa, con especial incidencia en las pymes.
PUBLICIDAD
Asimismo, la sofisticación de estas estrategias y el uso de la ingeniería social, los convierten en una de las consultas empresariales más frecuentes en los servicios de ciberseguridad.
Cómo suplantan a jefes de una empresa para cometer varios delitos
El fraude del CEO consiste en la suplantación de la identidad de un alto directivo como el CEO, presidente o director de una empresa, a través de un correo electrónico dirigido a un empleado que tiene autorización para efectuar pagos o transferencias.
PUBLICIDAD
El mensaje solicita una acción financiera urgente y confidencial, buscando evitar cualquier tipo de consulta o validación previa. INCIBE informa que este fraude figura entre los diez temas más consultados por empresas en su servicio ‘Tu Ayuda en Ciberseguridad’, con un incremento sostenido en los últimos años.
Entre las razones de este aumento se destacan la creciente exposición de datos de directivos en redes sociales profesionales y la publicación de organigramas empresariales.
PUBLICIDAD
Estos factores facilitan que los ciberdelincuentes diseñen ataques más personalizados y difíciles de detectar, porque disponen de nombres, cargos y detalles internos que usan para simular situaciones financieras legítimas y urgentes.
De qué forma los ciberdelincuentes hacen que los mensajes sean más convincentes
Los atacantes analizan de manera exhaustiva la estructura y actividad de la empresa antes de perpetrar el fraude. Utilizan técnicas de información pública (OSINT) para recopilar datos sobre el organigrama, información de directivos y fechas de ausencias, junto con detalles de clientes y proveedores.
PUBLICIDAD
También, monitorizan correos electrónicos e interacciones para entender los flujos de trabajo y las rutinas financieras de los empleados. Una vez identificada la víctima, envían un correo que aparenta total legitimidad, tanto en el formato como en el lenguaje.
Estas comunicaciones incluyen frases como: “Es urgente y confidencial. No informes a nadie” o “Confío en tu gestión, haz la transferencia antes de las 14:00”. De esta forma, se aprovechan de la confianza y la autoridad que tiene el supuesto remitente, y así evitan que el receptor cuestione la autenticidad de la orden.
PUBLICIDAD
Por qué las pequeñas empresas son las más vulnerables
Pese a que todas las empresas son blanco potencial de este fraude, las pymes resultan las más afectadas. Esto ocurre por la ausencia de protocolos internos de verificación y la falta de capacitación específica en ciberseguridad.
Un volumen menor de personal lleva a que una sola persona tenga una gran responsabilidad sobre las operaciones financieras y acceso a cuentas relevantes, lo que convierte a ese empleado en objetivo prioritario.
PUBLICIDAD
Los expertos revelan que la ausencia de controles de doble validación y la costumbre de asumir comunicaciones urgentes por parte de la alta dirección elevan el riesgo. Además, los recursos limitados hacen más difícil implementar medidas avanzadas de detección, lo que deja a las pymes expuestas a varios ciberataques.
Cómo pueden las empresas evitar caer en estos fraudes
La prevención comienza con la concienciación y la formación en ciberseguridad del personal de la organización, que esté orientada a la detección de correos sospechosos.
PUBLICIDAD
Es vital verificar siempre por una vía alternativa cualquier solicitud de pago urgente. Hay que comprobar el dominio del remitente letra por letra, para identificar alteraciones en la dirección de correo.
Además, la aplicación de una regla de doble control en transferencias superiores a un determinado importe, ayuda a reducir el riesgo de amenazas.
PUBLICIDAD
Conviene definir procedimientos claros para verificar nuevas cuentas de pago, así como limitar la exposición pública de datos de directivos y procesos internos en la web y redes sociales corporativas.
PUBLICIDAD
PUBLICIDAD
Últimas Noticias
Starlink limita la velocidad tras un uso intensivo: así funcionan las nuevas restricciones en sus tarifas “ilimitadas”
El servicio satelital de Elon Musk aplica reducción de velocidad tras un uso intensivo para evitar la congestión de la red, priorizando a los usuarios que no superan el umbral de consumo
Cómo acceder a sitios bloqueados por dictaduras sin censura: 10 VPN seguras para leer noticias
Aplicaciones gratuitas y servicios premium se han convertido en una herramienta clave para acceder a medios bloqueados en autocracias. Estas son las opciones más seguras, cuánto cuestan en 2026 y cómo configurarlas
Robots humanoides: por qué el hardware es ahora más costoso que la IA y su mayor desafío
Fabricar un prototipo de este tipo de dispositivos puede costar entre USD 150.000 y USD 500.000 por unidad
De vender un videojuego a los 12 años a liderar la industria espacial: así fue la juventud de Elon Musk
Antes de convertirse en multimillonario, Musk trabajó limpiando calderas y pasó años desarrollando habilidades de programación de forma autodidacta
Cuál es la frase más famosa de Star Wars, según Google
El impacto de George Lucas se refleja cada 4 de mayo, cuando crece exponencialmente la popularidad de las frases de Star Wars
