Una modalidad de la estafa informática es el llamado fraude al CEO (siglas de la expresión inglesa “Chief Executive Officer”, cuya traducción es Consejero Delegado). Esta variante consiste en que, usando el correo electrónico, el ciberdelincuente consigue engañar a un empleado de una empresa con habilitación para emitir pagos por transferencia bancaria en nombre de esta, para que realice una operación de traspasos de fondos a una cuenta bancaria controlada por el primero.
El engaño se lleva a cabo mediante el envío por parte del defraudador de un correo electrónico al empleado haciéndose pasar por el CEO o por algún otro alto cargo directivo de la empresa, ordenándole llevar a cabo la transferencia bancaria de forma confidencial y muy urgente, de manera que al conminarle a hacer la operación con una gran rapidez y sin tiempo para avisar a otras personas, le es muy difícil valorar si se trata de una necesidad real de la mercantil o no.
Esta estafa, puesto que va dirigida a los “peces gordos” de una empresa, es llamada también “whaling” (del inglés “whale”, ballena).
Para conseguir engañar al empleado se suelen emplear dos técnicas de suplantación diferentes. La primera consiste en la creación de una dirección de correo muy similar a la dirección de correo corporativa real del CEO. En este caso le puede resultar más sencillo al empleado al que se le intenta embaucar descubrir el engaño.
En la segunda la usurpación, es más difícil de detectar ya que la dirección de correo electrónico usada es la verdadera dirección de correo electrónico del CEO: en este caso el delincuente ha conseguido acceder realmente a la cuenta porque previamente ha sido capaz de obtener la clave de acceso o “password” a esta.
La manera de obtener esa clave de acceso con la que poder salvar el proceso de autenticación de la identidad del dueño de la cuenta en el sistema de mensajería suele hacerse por medio de las llamadas técnicas de ingeniería social, que se valen, por lo general, de la buena voluntad de la víctima y/o de su falta de precaución ante este tipo de tácticas.
La cuenta bancaria a la que se ordena hacer la trasferencia bancaria suele pertenecer a una sociedad pantalla o a un testaferro que, por lo general, se encuentra abierta en una entidad bancaria de un estado diferente al del establecimiento principal de la empresa estafada.
Podemos comprobar que aparecen los elementos del delito de estafa informática que habíamos enumerado en la entrada del blog referida a las estafas informáticas en general:
-
El engaño bastante, con el que el ciberdelincuente embauca al empleado.
-
El error del engañado.
-
El acto de disposición patrimonial consistente en la transferencia bancaria realizada a favor de una cuenta controlada por el delincuente.
-
El ánimo de lucro del delincuente, que ha actuado con conciencia y voluntad de realizar el fraude y con el propósito de conseguir el dinero transferido.
-
La transferencia de dinero, que se consigue por medio de una manipulación informática: en este caso, usurpando la dirección del correo electrónico del CEO.
