skip to Main Content

Welcome

Say hello to the toggle bar. This is an optional section you can use to display any content you'd like. Simply select a page from the theme panel and the content of the page will display here. You can even use the drag and drop builder to create this! This is a perfect place for your company mission statement, alerts, notices or anything else.

Get In Touch

Email: support@total.com
Phone: 1-800-Total-Theme
Address: Las Vegas, Nevada

Our Location

togglebar-map
grupoingsocial@gmail.com

La estafa del CEO (Parte II): Un ataque de Ingeniería Social

La estafa del CEO es también conocida en Francia como “FOVI” (“escroquerie aux faux ordres de virement”), es decir, la estafa de las “falsas órdenes de transferencia bancaria”. El mismo fenómeno es designado por los anglosajones como BEC (“Business Email Compromise”). En todo caso, podemos considerar que se trata de un tipo de ataque de ingeniería social, personalizado y proteiforme. A través de correos electrónicos (falsos o verdaderos utilizados ilegítimamente) y/o llamados telefónicos específicos, el autor del ataque, se hace pasar por un dirigente, un contable, tesorero, autoridad o ejecutivo de una empresa (sede o filial), cliente o proveedor (entre otros), para contactar una persona con un cargo similar o inferior y exigirle que realice una o varias transferencias bancarias, en el marco de una operación extraordinaria y confidencial.

A veces en la prensa se lee también que se trata de un caso de “whaling”. Si bien es algo aún discutible, puesto que no existe un diccionario universal en materia de ciberseguridad o de delitos informáticos, se podría decir que, whaling, es un ataque de spear-phishing dirigido a una autoridad (“big fish”) de una empresa u organismo. Sin embargo, el pedido o la orden que el emisor del correo le da al receptor, no es necesariamente realizar una transferencia bancaria internacional. Es decir, puede ser descargar un archivo, hacer clic en algún link que termina infectando el sistema de la empresa o transmitir información sensible. En la estafa “del CEO”, los intercambios entre autor y víctima, pueden ser igualmente telefónicos con lo cual, el vector y la duración del ataque, no son iguales. Por otro lado, en la estafa “del CEO”, el atacante puede hacerse pasar por el CEO frente a un empleado, mientras que, en general, en un caso de “whaling”, el CEO es el objetivo directo. Sin embargo, mas allá de ciertas diferencias, podemos afirmar que, en ambos, la ingeniería social está presente.

Según datos oficiales publicados en distintos países, como los del Internet Crime Complaint Center o en Francia de la OCRGDF1, la estafa “del CEO”, es una de las que mayores pérdidas ocasiona, no sólo a empresas grandes, pequeñas y medianas de todo sector, sino también a la administración pública. Esta tendencia explica, en parte, por qué la ingeniería social está en el top 10 en materia de riesgos para las empresas2.

Debemos preguntarnos entonces por qué se trata de un ataque de ingeniería social. Cabe destacar que, esta última, constituye un fenómeno muy antiguo pero que ha ido mutando. Hoy en día, la ingeniería social representa un conjunto de herramientas y de métodos que combinan las nuevas tecnologías con técnicas de manipulación y persuasión, permitiendo crear, a quienes la emplean, distintas estrategias de ciberataques, basadas en la explotación de vulnerabilidades humanas. De esta manera, se puede obtener de las víctimas una determinada información o conducta (acción u omisión) que los atacantes utilizarán, en la mayoría de los casos (no siempre), a fines fraudulentos.

Es interesante ver cómo, en la estafa “del CEO”, aparecen todas las etapas del ciclo de un ataque de ingeniería social: la recolección de información; el desarrollo de una relación (en este caso jerárquica) para explotar factores psicológicos como la autoridad, el poder, la confianza, la urgencia, la ansiedad; la explotación de la relación, que permite que la víctima ejecute las órdenes; y la exfiltración sin levantar sospechas. En nuestro caso de estudio, podemos apreciar también la combinación de los elementos psicológicos con herramientas tecnológicas, principalmente los mails y con el trabajo previo a la ejecución del ataque.

Para que la estrategia sea exitosa, la fase de recolección de información es trascendental. Se estima que su éxito depende, en gran parte, de la explotación de fuentes abiertas, lo que se conoce como OSINT (Open Source Intelligence). La mayoría de los especialistas en seguridad afirma que se trata del primer factor que permite a los ciberdelincuentes crear un escenario creíble para alcanzar sus objetivos. Esto está también relacionado con la cantidad de datos de interés (bancarios, mails, contraseñas) que circulan por Internet, consecuencia de fugas e incidentes de seguridad.

Un atacante va entonces estudiar y seleccionar cuidadosamente sus víctimas, en función de la información que obtiene en esta etapa. Puede tratarse, por ejemplo, del manejo interno de la empresa, productos, servicios, empleados, autoridades, proyectos, planes, sucursales, viajes y eventos especiales, léxico, entre otros datos fundamentales. Si bien en nuestro caso los estafadores usaron un mail falso, cabe mencionar la posibilidad de recurrir a ataques de phishing de modo complementario. Se puede lograr entonces, por ejemplo, el acceso a una dirección de correo electrónico legítima, para contactar desde la misma a los empleados de la empresa y reducir la probabilidad de ser descubierto. Para ganar credibilidad, se puede también comprar nombres de dominio similares a los de la empresa3 cuya identidad se quiere usurpar. De todas maneras, las direcciones creadas de manera aleatoria, suelen también ser eficaces puesto que, el receptor, no siempre mira en detalle la dirección del remitente.

Los autores de este tipo de ataque pueden así hacerse pasar por las autoridades de una empresa y/o organismo, representantes o responsables de las operaciones bancarias. Luego, crear un mensaje pertinente que se enviará con el correo personalizado, cuyo carácter fraudulento es muy difícil de detectar a tiempo, puesto que no viene acompañado de un malware. El riesgo aumenta cuando estos mensajes no poseen faltas de ortografía, ni archivos adjuntos o links, que son los indicios que se difunden en las campañas de concientización dirigidas al público.

La usurpación de identidad les permite entonces exigir a los objetivos que se les transfiera dinero a una cuenta situada en el extranjero, en el marco de una operación importante y secreta. Por lo general no se trata de una cuenta del atacante sino de una cuenta “taxi” que sirve para hacer transferencias ulteriores y ocultar el origen de los fondos hasta llegar a destino. Estos van a circular por paraísos fiscales, países de Europa del Este, Hong Kong, Chipre, Israel, entre otros puntos4.

La sofisticación de la estafa del “CEO” muestra que, sus autores, son grupos profesionales internacionales con cómplices locales que saben manejar idiomas, información y lavar dinero pero, sobre todo, manipular humanos.
Las víctimas, que son cómplices involuntarios de estos ataques, pueden ser dirigentes, asistentes, secretarios, empleados del departamento de contabilidad, tesoreros, etc. Por un lado, gobiernos, multinacionales y empresas más grandes son vulnerables ya que tienen varias filiales, su personal tiene poco contacto entre sí, pueden tener empleados trabajando a domicilio, siendo entonces más fáciles de engañar. Además, manejan sumas de dinero exorbitantes. Por otro lado, las pequeñas y medianas empresas son elegidas por los estafadores por la falta de concientización del personal y de políticas de seguridad internas.

Antecedentes y casos similares

En cuanto a los antecedentes, se considera que el franco-israelí, Gilbert Chikli, es el precursor de las estafas del “CEO”5. Para aquellos que no vieron la película “Cuento con usted” (“Je compte sur vous”)6, basada en su historia y en los delitos que ha cometido, Chikli, era especialista en realizar llamadas para hacerse pasar por el CEO o un agente de servicios secretos y procurarse sumas millonarias. Para concretar su ataque, invocaba operaciones financieras confidenciales (oferta pública de adquisición, fusiones) o la lucha contra el terrorismo y lavado de dinero. Algunas de sus víctimas: Accenture, Alstom, HSBC, la Banque Postale, le Crédit Lyonnais, Thomson Technicolor, Galeries Lafayette, DisneyLand Paris, la Caisse d’Epargne, el Palais de l’Elysée7. Después de ser condenado a siete años de prisión por estafa, Chikli decidió fugarse a Israel donde continuó cometiendo hechos similares, aprovechando la falta de tratado de extradición. Luego se escapó a Ucrania en 2017, donde fue capturado, liberado, vuelto a capturar, para ser finalmente extraditado y encarcelado en Francia. Si bien se pudo probar un perjuicio de casi ocho millones de euros por sus estafas, se estima que, en realidad, Chikli habría obtenido muchos más y que el número de víctimas sería mayor igualmente.

A modo de ejemplo, podemos citar un caso donde Chikli comenzaba por hacer que un cómplice suyo llamara a un empleado de un banco haciéndose pasar por el director. Le indicaba luego que, un agente de servicios secretos, lo llamaría para hablar de una operación de importancia extrema, en un caso de lucha contra el terrorismo. Luego del primer condicionamiento psicológico, era él quien efectuaba ese llamado. Así fue como logró, por ejemplo, que una empleada le dejara 350. 000 euros en el baño de un bar de París.

Recientemente se descubrió que Chikli habría sido responsable de la suplantación de identidad del ex ministro francés de Defensa y actual ministro de relaciones exteriores, Jean-Yves Le Drian8, con el fin de solicitar sumas de dinero a personalidades importantes. Se cree que ha intentado, además, hacerse pasar por el Príncipe Alberto II de Mónaco.

Según periodistas de Le Canard Enchaîné, la estafa basada en Jean-Yves Le Drian, habría funcionado en algunas ocasiones: contra una empresario turco; contra una fundación suiza; contra el príncipe Aga Khan IV y contra Corinne Mentzelopoulos, coproprietaria de los viñedos Château Margaux. El pretexto: pagar el rescate de ciudadanos, soldados y/o periodistas franceses secuestrados en Siria por el estado islámico. El estafador habría incluso enviado cartas con el logo del ministerio, asegurando el reembolso9, exenciones fiscales, una cena privada con el Presidente, la legión de honor, entre otras “carnadas”. De la misma manera, habría intentado engañar a jefes de Estado, embajadas de Francia en el extranjero, el Banco del Vaticano, el grupo LVMH, el club de rugby Racing 92 y de fútbol de Toulouse, personajes como Brigitte Bardot, entre otros. El dinero (decenas de millones de euros) habría desaparecido entre Polonia, Eslovaquia y China.

Si bien Chikli niega haber sido él, las grabaciones de las conversaciones que están en posesión de los investigadores, muestran coincidencias en el tono de su voz, su respiración, la construcción de las frases, muletillas, entre otros elementos de convicción.

Cabe destacar que, muchos casos similares, existen desde hace algunos años. Grandes empresas como Coca Cola, Nestlé, Vinci, Total, Mattel, l’Olympique de Marseille, fueron objetivos de estafas (y tentativas) del “CEO”10. Solamente Intermarché perdió, por ejemplo, 15 millones que fueron enviados a Polonia11. La famosa Michelin también ha sido blanco de ataques y tentativas millonarias12. Pero también pequeñas y medianas empresas sufren por estos casos, como por ejemplo, una empresa textil en el norte de Francia que recientemente ha sido víctima de una estafa que le ha costado 500 000 €. En Rhône, otra empresa fue víctima de un hecho que le costó cientos de miles de euros13. De igual manera, la sociedad BRM Mobilier perdió más de un millón y medio de euros lo que la llevó a la quiebra14. Y no sólo las personas jurídicas son los objetivos, también los particulares, como fue el caso de un ciudadano de Sebourg15.

A nivel internacional, se hizo conocido el caso del Banco de Bangladesh, por la pérdida de 80 millones de dólares, luego de 4 transferencias a una cuenta en Filipinas. El ataque fue detectado gracias a una falta de ortografía en uno de los mails que intercambiaron (Shakila “Fandation” en lugar de “Foundation”)16.

Podemos mencionar además algunas variantes, como la estafa del “cambio de certificado de identidad bancaria”17. En estos casos, el atacante se hace pasar, por ejemplo, por un proveedor o un socio de la empresa y le reclama una transferencia, con falsas facturas impagas. Salvo que, esta vez, por una razón especial, la cuenta destino es diferente de la habitual y se le entrega el certificado con los datos necesarios para dicha operación. Por lo general, la víctima, es el empleado del departamento de contabilidad o tesorería. Para ilustrar este hecho, podemos mencionar un caso que ocurrió hace unos meses en el departamento de Haute-Garonne, en el cual, el estafador, se hizo pasar por un empleado comercial de Google Inc frente a una empresa que había suscripto al servicio publicitario de Google Adwords. El estafador le dijo que la multinacional había cambiado de cuenta y consiguió obtener así 250 00018. En el mismo departamento, otra empresa sufrió un ataque similar, por un perjuicio de 166 000 €.

Además de utilizar como vectores el mail y el teléfono, los atacantes suelen entonces acompañar documentación falsificada como las facturas mencionadas, que muchas veces parecen verdaderas por el trabajo previo de recopilación de información.

En Europa hubo igualmente una ola de estos ataques cuando se implementó SEPA (Single euro payments area), iniciativa que facilitó las transferencias entre los distintos países de la zona euro. En este contexto y haciéndose pasar por técnicos, responsables del servicio informático o empleados del banco, les pedían a las víctimas que se les confíen los datos de las cuentas para hacer un test y ver si el sistema funciona correctamente.

En general, los días viernes les resulta atractivo realizar estas operaciones porque el banco da un plazo de 48hs para frenarlas en caso de fraude o error, con lo cual hacer un reclamo al lunes siguiente ya sería tarde. De hecho, si el fondo en cuestión no se puede congelar en las 24hs que siguen a la transferencia, es prácticamente imposible repatriarlo. Por eso la importancia de que el banco también detecte rápido la operación.

AutoraDenise Gross

Leave a Reply

Your email address will not be published. Required fields are marked *

Back To Top