Me lo creí… Ni pensé en que podía no ser lo que parecía

Ana es directora financiera de SCC Asociados. Hace más de diez años que trabaja en la compañía y tiene muy claros los procedimientos y cadena de autorización de peticiones. Hace dos días, a última hora de la mañana, recibe un correo electrónico de su consejero delegado, Juan Fernández. Era sencillo, corto y claro: Manuel Martínez, CEO de su empresa, solicita que se transfiera una suma importante de dinero a un número de cuenta de un proveedor habitual de la empresa.

No hay nada que pensar. Es una petición del CEO, el consejero delegado la ha ordenado, el nombre del proveedor es conocido, así que su equipo de finanzas lo ejecuta.

Al cabo de unas horas Ana recibe una llamada de Manuel. ¿Por qué se ha hecho una transferencia tan importante? ¿Quién la ha solicitado?

Ana empieza a ponerse pálida… No entiende nada … ¿Qué ha pasado?

Ana ha sido víctima de una estafa que se llama «fraude del CEO» o «ataque BEC (Business Email Compromise)»

Con los nervios a flor de piel Ana comprueba de nuevo el correo… Todo es correcto. Le reenvía el correo a Manuel, y en ese momento descubre algo que la deja helada… ¡la dirección de correo electrónico no es correcta! … Venía de jfernandez@scasociados.com … y debería venir de jfernandez@sccasociados.com. ¡Venía de un desconocido!

Alguien se había tomado la molestia de dar de alta un dominio casi igual al de su empresa, conoce la estructura de los correos, la cadena de autorización, conoce el organigrama, conoce el nombre de los proveedores… ¡sólo ha tenido que pedirlo!

Por suerte ha sido a última hora de la mañana. Las transferencias no se hacen hasta el día siguiente por la mañana y pueden solicitar que se bloquee. Han tenido suerte…

No era un hacker experimentado. La ingeniería social, que es lo que ha utilizado, es un arma potentísima. La confianza, el comportamiento de las personas y las malas intenciones, son una mala combinación, pero podemos protegernos de ellas.

Después del susto que se han llevado todos, han decidido poner en marcha algunas medidas:

  • Han configurado una regla en el servidor de correo para que alerte de cualquier dirección con dominio parecido al suyo
  • Han cambiado el proceso de autorización. Cualquier petición de transferencia de fondos deberá estar firmada digitalmente por Manuel.
  • Un cambio de número de cuenta con un proveedor conocido se confirmará con el proveedor
  • Se realizarán campañas de concienciación entre el departamento financiero para que revisen con cuidado cualquier mail que solicite un pago y que, en caso de duda, realicen una confirmación

Estas medidas son sólo una ayuda para no volver a caer en la trampa pero, como veis, no son necesarias medidas extraordinarias ni herramientas complicadas para llevar a cabo un fraude. Estar atentos y confirmar las situaciones «diferentes» son una buena medida.