Ataca especialmente a empresas, organizaciones y entidades públicas, y se basa en el control remoto del correo electrónico para desviar pagos
BILBAO, 13 Nov. (EUROPA PRESS) -
Euskadi ha registrado este año 40 casos de la denominada 'estafa del CEO', que suman pérdidas económicas por valor de casi 2 millones de euros. Esta modalidad de estafa, que ataca especialmente a empresas, organizaciones y entidades públicas, se basa en el control remoto del correo electrónico de algún miembro de la dirección para luego desviar pagos a las cuentas de quienes cometen el fraude.
La Ertzaintza ha alertado a la ciudadanía, especialmente a empresas y organizaciones de todo tipo, de la "proliferación" de esta estafa y ha instado a tomar medidas de protección ante este tipo de ataques informáticos.
Según los datos aportados por el Departamento vasco de Seguridad, Gipuzkoa es el territorio que ha sufrido el mayor número de casos, con un total de 21 denuncias en 2018 que superan los 800.000 euros estafados. Además, se han dado otros cuatro hechos en grado de tentativa, en los que habrían intentado apropiarse de otros 230.000 euros.
En Álava, la Ertzaintza ha contabilizado este año doce denuncias por este tipo de delito, con una cantidad estafada de 900.000 euros. Tres de estas denuncias corresponden a estafas en grado de tentativa.
Por su parte, Bizkaia ha registrado siete ataques de este tipo en 2018, con un montante total de 145.000 euros. No obstante, esta cifra se habría "disparado" en 1,5 millones de euros más en caso de haberse consumado los tres intentos de estafas detectados por personal de empresas afectadas, ha explicado la Consejería de Seguridad.
Según ha podido comprobar la Ertzaintza, a partir de las investigaciones llevadas a cabo hasta ahora, la fórmula utilizada por quienes cometen el engaño consiste, en una primera fase, en conseguir acceso a la cuenta de correo electrónico de algún cargo principal de la empresa afectada mediante la infección de un ordenador o mediante técnicas de 'phising'.
Después, se hace un seguimiento del correo de la víctima, de manera que cuando se detectan pagos pendientes o periódicos, ya en una segunda fase, se suplanta la identidad de la persona afectada y se ordena desviar esos pagos a cuentas controladas por los estafadores.
Además, ha advertido Seguridad, el control que se ejerce sobre el correo de la víctima le puede permitir averiguar la existencia de deudas con terceras personas, el código de la cuenta bancaria de la víctima, su organización u otras organizaciones, lo que, a su vez, le permitiría extender su actividad de usurpación de identidad a más entidades y ordenar transferencias de dinero a sus cuentas.
Durante todo el tiempo que dura el control del correo electrónico usurpando su identidad, ha explicado, "la víctima no es consciente de que esté ocurriendo nada anormal, ya que sigue con su habitual rutina de comunicaciones informáticas".
"Como es comprensible, el daño para las empresas es grave, bien sea por el importe de dinero estafado, bien por el control que sobre las comunicaciones de la empresa, especialmente de su personal directivo, o por la necesidad de rehacer totalmente dicho sistema de comunicaciones tras conocer lo sucedido. Además, la probabilidad de recuperar el dinero estafado una vez conocido el ataque es "muy baja", ha advertido.
MEDIDAS DE PROTECCIÓN
Ante este tipo de ataques, la Ertzaintza recomienda desconfiar de cualquier orden para la ejecución de pagos urgentes no previstos y comprobarlos personal o telefónicamente con el superior. No es recomendable seguir enlaces insertados en correo electrónico, sino que se debe teclear manualmente la dirección a la que se pretende acceder.
Desconfiar ante un cambio de cuenta bancaria y comprobar su veracidad por otros medios antes de realizar la transferencia, así como utilizar las plataformas digitales implementadas por las distintas entidades para realizar trámites bancarios son otras de las recomendaciones.
Asimismo, no se debe insertar en los equipos 'pendrives' ni ningún otro dispositivo hallado en la vía pública o en dependencias de la empresa de acceso público, dado que "podría ser un 'caballo de troya' dispuesto para la infección de un ordenador o toda la intranet".
También es aconsejable difundir entre el personal de la organización el 'modus operandi' de este tipo de delitos, para que se puedan adoptar medidas preventivas, además de evitar contraseñas predecibles, "jamás anotarlas ni compartirlas" y no responder nunca a un correo en el que se solicite la contraseña.
Además, no se debe participar en cadenas de mensajes reenviando correos y, en caso de tener que enviar un correo a varias personas, es aconsejable utilizar el campo 'CCo' para evitar dar a conocer la dirección remitente.
