suplantación del CEO

Los ciberataques adoptan infinidad de formas e irán mutando de una forma rápida e inmisericorde para afinar más y así comprometer de manera eficaz los activos tangibles e intangibles de empresas y de todo tipo de instituciones. En este artículo introducimos la llamada “suplantación del CEO” como uno de los ciberdelitos más extendidos.

Como consecuencia del hecho de que el CEO es por definición la persona que en la mayoría de los casos tiene a su cargo la tutela de los activos más valiosos de la compañía, ha proliferado de forma notable el conocido como suplantación del CEO. Este puede adoptar diferentes formas, si bien básicamente se trata de una impostura de la identidad del CEO para apropiarse de forma indebida de activos de valor (activos financieros, planos, diseños, contratos u otra documentación estratégica).

La suplantación del CEO se puede realizar por diferentes vías: teléfono, correo electrónico ficticio, whatsapp  o bien utilizando un software malicioso de phishing a través del cual los delincuentes pueden recabar información de las actividades de la compañía y/o incluso actuar desde el correo electrónico del propio CEO. Habitualmente  estas actuaciones  llevan aparejado un conocimiento previo y exhaustivo de la empresa, de sus directivos y del propio CEO a través de la información pública de redes sociales o páginas web.

En muchos casos existe más de un delincuente pues el ataque se realiza por diferentes vías y es común que el falso CEO presente una persona “de confianza” que es la que gestionará la rapiña de los activos en cuestión, generalmente con uno solo de los directivos de la empresa. Estos procesos de engaño mediante la suplantación del CEO, a diferencia de los ataques indiscriminados para la apropiación masiva de datos, están diseñados “ad hoc” y en muchas ocasiones coinciden con períodos en los que se puede conocer la ausencia por diferentes motivos (viaje profesional, asistencia a ferias, vacaciones, baja laboral) del auténtico CEO.

Las PYME en cuanto son en muchos casos empresas de carácter personalista o con una insuficiente segregación de funciones, constituyen un caldo de cultivo sustancioso para este tipo de ciberdelitos. Consecuentemente, debe prestar especila atención a sus controles internos y sistemas de autorización para evitar ser víctimas de ciberataques como la suplantación del CEO.

Max Gosch

CEO

Puede conocer más sobre nuestros servicios de ciberseguridad aquí.