skip to Main Content

Welcome

Say hello to the toggle bar. This is an optional section you can use to display any content you'd like. Simply select a page from the theme panel and the content of the page will display here. You can even use the drag and drop builder to create this! This is a perfect place for your company mission statement, alerts, notices or anything else.

Get In Touch

Email: support@total.com
Phone: 1-800-Total-Theme
Address: Las Vegas, Nevada

Our Location

togglebar-map
grupoingsocial@gmail.com

Estafa del CEO (Parte I)

Introducción

Durante el mes de noviembre, en Europa, salió a la luz un nuevo caso del ciberataque conocido como la “estafa del CEO”. El grupo francés Pathé, distinguido por su rol en la industria cinematográfica, fue la víctima de turno1. Un análisis de los hechos resulta necesario para entender de qué manera la ingeniería social influye en la concepción, desarrollo y ejecución de los mismos. También para ilustrar su alcance y plantearse cuáles son las medidas de prevención más adaptadas a esta nueva forma de delincuencia.

Los hechos

Gracias a un trabajo de colecta de información eficaz, los autores del ataque, consiguieron ganar la confianza y convencer al ahora ex-director financiero (CFO) de la filial holandesa de Pathé (Edwin Slutter) y a su directora-gerente (Dertje Meijer), de efectuar una serie de transferencias bancarias internacionales, que superarían la suma de 19.200.000 de euros (más de 21 millones de USD).

La ejecución del ataque habría comenzado a principios del mes de marzo de 2018. Los estafadores entraron en contacto con las autoridades precitadas a través de una falsa dirección de correo electrónico, creada a tales fines. Según ciertas fuentes2, la directora habría recibido el primer mail donde se le consulta si “KPMG”3 se ha comunicado con ella. Esta última habría optado por reenviarlo al director financiero. Ambos habrían decidido entonces de responder al emisario, para ver de qué asunto se trataba.

Los atacantes introdujeron así su pretexto: haciéndose pasar por el presidente del grupo Pathé (Francia), les manifestaron la necesidad de financiar una supuesta adquisición en Dubái, razón por la cual les solicitaban la transferencia de determinadas sumas de dinero. El monto en cuestión les sería reembolsado ulteriormente. La operación era, por supuesto, “secreta” puesto que eso les permite hacer creer a las víctimas que sólo pueden hablar del tema con determinadas personas, usando direcciones de correo especiales o teléfonos personales. En este caso, debían comunicarse por medio del mail “personal” del “CEO”.

Las transferencias terminando siendo varias y las sumas de las mismas fueron aumentando progresivamente. Sin embargo, más allá de las dudas, las dos autoridades continuaron obedeciendo a las órdenes del “CEO”. Esto refleja el poder de la sumisión a la autoridad, extremadamente útil en ataques de ingeniería social.

La sede central habría decidido averiguar los motivos de estas operaciones recién a finales del mes de marzo, detectando así el error humano de la filial holandesa. El descubrimiento se habría producido a raíz del uso de una parte de los fondos que provenían de un préstamo gestionado por dicha sede, en Francia. Menos de un mes más tarde, los dos directores, víctimas y facilitadores del ataque, fueron despedidos. El grupo los acusó de conducta negligente ya que no habrían prestado atención a los indicios que podrían haberlos alertado de la estafa.

De hecho, es en el marco del proceso iniciado por el ex CFO, contra el grupo francés por su despido, que estos hechos se hacen públicos. En el mismo, se discute sobre la naturaleza y las condiciones de tal decisión, pues él considera que sólo ha obedecido órdenes. La sentencia del Tribunal de Ámsterdam del 31 de octubre4 es la que permite difundir el caso. Dicho organismo se ha pronunciado sobre el tema, obligando al grupo Pathé a pagarle el sueldo por lo menos hasta el 1 de diciembre de 2018.

En cuanto al destino de la suma de dinero transferida y si ha sido posible recuperarla o no, la información no ha sido aún revelada.

AutoraDenise Gross

Leave a Reply

Your email address will not be published. Required fields are marked *

Back To Top