skip to Main Content

Welcome

Say hello to the toggle bar. This is an optional section you can use to display any content you'd like. Simply select a page from the theme panel and the content of the page will display here. You can even use the drag and drop builder to create this! This is a perfect place for your company mission statement, alerts, notices or anything else.

Get In Touch

Email: support@total.com
Phone: 1-800-Total-Theme
Address: Las Vegas, Nevada

Our Location

togglebar-map
grupoingsocial@gmail.com

La estafa del CEO (Parte III): Consecuencias y reparto de responsabilidades

Se calcula que, en estos años, se hicieron más de 2.300 denuncias en Francia por estafas “del CEO” y se estima que, este tipo de fraude, les ha costado cientos de millones de euros1. Sin embargo, se teme que haya muchos más casos que no han sido denunciados. En efecto, al impacto económico ocasionado por la pérdida de las sumas transferidas, se le suma el temor de la víctima de ver afectada su reputación, ya que se compromete la imagen de la empresa y de los profesionales implicados en el hecho, sin perjuicio de lo que se determine en materia de responsabilidad civil y penal.

En Francia, el hecho analizado entra dentro del ámbito del cibercrimen, puesto que se trata de una conducta que atenta contra los bienes de las víctimas, a través de un sistema y/o dispositivo informático. No obstante, ante la ausencia de un tipo penal especial, el mismo será probablemente calificado a través de la figura de estafa, con la circunstancia agravante de “banda organizada”, teniendo en cuenta la sofisticación de la estrategia y la necesidad de contar con la reunión de varias personas para poder ejecutarla y hacer transitar el dinero.

Cabe plantearse, además, la responsabilidad del banco donde tiene la cuenta la víctima, por ejemplo, el grupo Pathé, ya que la institución ha demostrado su falta de vigilancia en lo que concierne la detección de anomalías, como la seguidilla de transferencias de sumas exorbitantes en poco tiempo, a cuentas y personas inhabituales. El banco, como depositario del dinero de sus clientes, tiene una responsabilidad contractual. Para que el banco se exima de tal responsabilidad, debe quedar claro que no hubo negligencia en su comportamiento y probar que la falta ha sido solamente cometida por quien ha depositado dicho dinero (titular o persona autorizada de la cuenta), es decir su cliente.

Es válido preguntarse también si, el despido directo de estos empleados, está tan justificado como uno puede pensarlo en un primer tiempo, pues es el caso deja entrever que la política de seguridad de la empresa es deficitaria.

Habría que preguntarse, por ejemplo ¿qué tipo de medidas ha tomado previamente el responsable de la seguridad (CSO)? Si hubo negligencia ¿por qué? Y ¿no sería mejor alentar a los empleados a denunciar los incidentes rápidamente en lugar de despedirlos? ¿No sería interesante que las victimas dejen de callar?

En fin, podemos pensar en el conflicto que puede tener la víctima, en caso de haber suscripto a una póliza de seguro.

Hay que verificar si, la aseguradora, cubre riesgos relacionados con ciberataques de ingeniería social, que son facilitados por el cliente.

¿Podemos evitar estos casos? ¿Qué conclusiones podemos sacar?

Desde 2016, las acciones de concientización, han permitido que estas estafas tengan menos éxito o, por lo menos, que las pérdidas sean inferiores a las de años anteriores. No obstante, las campañas se dan más que nada en las grandes empresas, lo que provoca el aumento de los ataques contra las pequeñas y medianas.

Gracias al estudio del caso Pathé y similares, podemos entender mejor el impacto de este tipo de delincuencia.

Comprobar igualmente que no se debe subestimar el poder de la ingeniería social. Tampoco debemos perder de vista la información que circula de la empresa, de su personal e incluso de su entorno. Es difícil hacer un análisis prospectivo, frente a la velocidad de los cambios. Pero es sabido que, la ingeniería social, siempre encuentra su lugar.

Al mismo tiempo, creemos que es fundamental tener en cuenta ciertos aspectos:

Tanto la seguridad como la ingeniería social son de naturaleza transversal y polifacética. Y la tecnología debe estar al servicio del hombre y no al revés. Hace falta voluntad y decisión política de concientizar.

La concientización debe ser periódica, no sólo para empleados sino también para dirigentes, que piensan estar demasiado ocupados o que conocen bien a su empresa y no van a caer en este tipo de “trampas”.

Auditar periódicamente. Y usar campañas de varios tipos de ataques de ingeniería social, como de estafas del CEO, no sólo de phishing.

Aprender que la opinión de un colega no alcanza: hay que aplicar varios niveles de seguridad. Por ejemplo, que se necesite la firma conjunta de varias personas autorizadas para realizar ese tipo de operaciones. La verificación pasa también por otros puntos, íntimamente relacionados con la identidad del emisor del mensaje y con la naturaleza de su pedido.

Poner a disposición del usuario mecanismos de contacto y que estén disponibles, para evacuar dudas de este tipo.

Las autoridades deben conocer a sus pares, empleados y colegas. Simultáneamente, respetar la separación de tareas.

Controlar la información que circula, el uso de redes sociales y dispositivos personales. Evitar, por ejemplo, que el personal acepte utilizar otros canales de comunicación a pedido del estafador. Tener en cuenta la seguridad física, como el control de los datos que se hayan podido obtener de contenedores de basura, dispositivos perdidos o robados, de conversaciones en lugares públicos, etc.

Aumentar controles en períodos especiales: vacaciones, licencias, viajes de trabajo.

El “ciber”seguro: verificar que la póliza cubre ataques de ingeniería social.

Ocurrido el hecho, denunciarlo inmediatamente al banco y ante las autoridades.

Por último y por sobre todo, no se puede poner todas las esperanzas en un sólo medio de protección. Sentido común y pensar antes de actuar. Que la ciberseguridad sea un dolor de cabeza para los delincuentes y no para los usuarios.

Autora: Denise Gross

Más referencias

https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBAMS:2018:7881&showbutton=true&keyword=path%C3%A9 ;
http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBAMS:2018:7881
https://www.undernews.fr/hacking-hacktivisme/arnaque-au-president-les-attaquants-profitent-des-fuites-de-milliards-de-donnees.html
http://www.leparisien.fr/faits-divers/pathe-victime-d-une-fraude-de-plus-de-19-millions-d-euros-10-11-2018-7939638.php
https://blog.knowbe4.com/heads-up-fired-two-c-level-execs-who-fall-victim-to-a-massive-21-million-dollar-ceo-fraud
https://www.20minutes.fr/arts-stars/cinema/2369163-20181110-fraude-coute-plus-19-millions-euros-groupe-pathe
https://www.lexpress.fr/actualite/societe/justice/pathe-victime-d-une-fraude-de-plus-de-19-millions-d-euros_2047630.html
https://www.lemonde.fr/economie/article/2018/11/10/cible-par-un-reseau-d-escrocs-le-groupe-pathe-a-perdu-plus-de-19-millions-d-euros_5381833_3234.html
https://www.zdnet.fr/actualites/fraude-au-president-pour-pathe-ce-n-est-pas-du-cinema-39876313.htm
https://cybernco.net/ingenierie-sociale-0_cybersecurite/
http://www.globalsecuritymag.fr/Cybersecurite-Predictions-et,20171127,75375.html
https://www.contrepoints.org/2017/11/14/303146-delinquance-de-lavenir-cybercriminalite
http://www.lavoixdunord.fr/260309/article/2017-11-09/l-arnaque-aux-faux-ordres-de-virement-touche-aussi-des-particuliers
https://www.ouest-france.fr/bretagne/dol-de-bretagne-35120/lutte-contre-la-cybercriminalite-dans-les-entreprises-5285996
https://www.tribune-assurance.fr/article/7571-a-l-heure-de-l-assurance-cyber
http://www.globalsecuritymag.fr/Christophe-Jolly-Vectra-l,20171001,74068.html
http://www.globalsecuritymag.fr/Thierry-Bardy-President-d-IMS,20171001,74070.html
http://www.globalsecuritymag.fr/Face-aux-ransomwares-les,20170929,74056.html
http://www.europe1.fr/international/arnaques-au-faux-president-le-franco-israelien-gilbert-chikli-retrouve-sa-liberte-en-ukraine-3446009
https://www.village-justice.com/articles/responsabilite-banque-desaissit-fonds,13614.html
https://www.fayerwayer.com/2018/07/ataque-banco-chile-informatico-robo-475-millones/
https://www.legavox.fr/blog/maitre-nicolas-fontaine/responsabilite-banque-faux-ordres-paiement-22053.htm
http://globbsecurity.fr/principes-fondamentaux-de-cybersecurite-44861/
https://infoguerre.fr/2018/09/necessite-dune-grille-de-lecture-de-cyber-criminalite/
https://www.silicon.fr/avis-expert/fraude-a-lidentite-en-entreprise-trois-cles-pour-une-authentification-efficace?inf_by=5b96a919671db877428b4ea3
https://www.ladepeche.fr/article/2018/08/04/2846689-escroquerie-faux-commercial-google-250-000e-prejudice-haute-garonne.html
https://www.latribune.fr/opinions/tribunes/le-cybercrime-francais-est-plus-porte-par-la-fraude-que-par-les-cyberattaques-785647.html
https://www.20minutes.fr/justice/2301579-20180704-escroc-faisait-passer-jean-yves-drian-entendu-juge
https://securityintelligence.com/how-to-recognize-a-business-email-compromise-attack/
https://www.undernews.fr/hacking-hacktivisme/arnaque-au-president-les-attaquants-profitent-des-fuites-de-milliards-de-donnees.html
http://www.leparisien.fr/faits-divers/pathe-victime-d-une-fraude-de-plus-de-19-millions-d-euros-10-11-2018-7939638.php
https://www.lemagit.fr/actualites/450421337/Securite-le-facteur-humain-encore-et-toujours
https://www.edubourse.com/finance/actualites.php?actu=104353
https://blogs.mediapart.fr/irma-afnani/blog/120618/se-former-au-droit-et-la-psychologie-de-la-manipulation-et-de-la-radicalisation
https://www.natlawreview.com/article/social-engineering-fraud-and-cyber-insurance-are-you-covered
https://www.foxbusiness.com/features/dont-sabotage-your-own-security-train-your-users
https://www.lesechos.fr/idees-debats/cercle/cercle-179986-les-arnaques-au-virement-concernent-toutes-les-entreprises-2158706.php
https://www.leprogres.fr/rhone-69/2018/03/04/une-entreprise-victime-de-l-arnaque-au-president
https://actu.fr/normandie/pont-de-larche_27469/arnaque-sur-site-rencontre-perd-16-00000-e_15698829.html
https://www.lamontagne.fr/clermont-ferrand/economie/btp-industrie/2018/03/18/faux-ordres-de-virements-internationaux-les-escrocs-ont-deja-rafle-18-millions-d-euros-en-auvergne_12777265.html#refresh
https://blogs.mediapart.fr/smanhes/blog/180118/les-arnaques-aux-faux-ordres-de-virement-en-augmentation-dans-les-pme
https://www.journaldunet.com/management/expert/68222/les-arnaques-au-president-en-augmentation-dans-les-pme.shtml
https://www.sekurigi.com/2017/12/reseaux-sociaux-voie-atteindre-systeme-informatique-entreprises/
http://www.globalsecuritymag.fr/Typosquatting-une-detection,20171220,75879.html
http://www.cote-azur.cci.fr/Actualites-CCI/Actualites-economiques/Cybercriminalite-Parce-que-ca-n-arrive-pas-qu-aux-autres-!_3911
http://www.globalsecuritymag.fr/Travail-a-distance-le-difficile,20171208,75619.html
https://www.marketerslatam.com/digital/articulos-marketing-digital/ingenieria-social/
https://www.marketerslatam.com/digital/articulos-marketing-digital/ingenieria-social-tipos-de-ataque-parte-2/
https://www.marketerslatam.com/digital/articulos-marketing-digital/ingenieria-social-herramientas-parte-3/
http://www.lavoixdunord.fr/461992/article/2018-10-03/le-departement-du-nord-victime-d-une-escroquerie-800-000-euros
http://lavdn.lavoixdunord.fr/461997/article/2018-10-03/le-departement-du-nord-victime-d-une-arnaque-800-000-euros
https://www.ladn.eu/tech-a-suivre/social-engineering-methode-hacking-pigeon/
https://www.lepoint.fr/faits-divers/exclusif-l-escroc-gilbert-chikli-futur-repenti-23-04-2018-2212668_2627.php
https://www.lepoint.fr/societe/l-incroyable-escroquerie-du-faux-le-drian-28-06-2017-2139067_23.php
https://www.lemonde.fr/police-justice/article/2017/11/23/l-escroc-gilbert-chikli-a-ete-incarcere-en-france_5219475_1653578.html
https://www.nouvelobs.com/justice/20180822.OBS1155/le-rocambolesque-dernier-coup-de-gilbert-chikli-le-roi-de-l-arnaque.html
http://www.maitre-noachovitch.fr/affaires-mediatisees/affaire-gilbert-chikli/
https://www.police-nationale.interieur.gouv.fr/Actualites/Dossiers/Cybercrime/L-arnaque-au-president-ou-escroquerie-aux-faux-ordres-de-virement-FOVI
https://www.altospam.com/actualite/2018/03/larnaque-fovi-toutes-entreprises-touchees/
https://www.eitb.eus/es/noticias/sociedad/detalle/5987693/estafa-ceo-40-casos-empresas-organizaciones-cav-2018/
https://www.europapress.es/islas-canarias/noticia-policia-nacional-alerta-estafa-ceo-business-email-compromise-canarias-20180219103811.html
https://www.muycanal.com/2018/08/03/empresas-timo-del-ceo-bec

ESTAFA “DEL CEO”: una muestra de la naturaleza polifacética de la ingeniería social por Denise Gross se distribuye bajo una Licencia Creative Commons Atribución-NoComercial-SinDerivadas 4.0 Internacional.

Leave a Reply

Your email address will not be published. Required fields are marked *

Back To Top