Seguridad Informática I.V

2.4. Fraude del CEO (CEO fraud)

Los métodos más utilizados, cómo funcionan y cómo protegerse.

Fraude del CEO: cuando los jefes falsos piden transferencias millonarias

El Fraude del CEO es un tipo de estafa en la que los ciberdelincuentes se hacen pasar por altos directivos de una empresa para engañar al personal financiero y lograr transferencias de dinero o revelar información sensible. Usando correos convincentes, urgencias falsas y apariencia de autoridad, buscan que “piques” sin sospechar nada. Estar alerta y verificar siempre las solicitudes es la mejor defensa.

El CEO fraud, también llamado Business Email Compromise (BEC), es similar al Spear phising en que implica que un delincuente se haga pasar por el CEO, CFO, gerente u otro ejecutivo superior de una empresa en particular, pero las instrucciones proporcionadas por el "CEO" pueden ser para realizar una acción directamente, no para iniciar sesión en un sistema, y el objetivo puede no ser capturar nombres de usuario y contraseñas o cosas por el estilo.

Intentando engañar a un empleado y lograr:

    _ transferencias bancarias urgentes,
    _ acceso a sistemas internos,
    _ datos sensibles de la empresa,
    _ pagos de facturas falsas.

Es uno de los fraudes más efectivos porque explota la autoridad, la urgencia y el miedo a desobedecer a un superior.

Cómo funciona el Fraude del CEO. Los atacantes suelen:
    1. Suplantar el correo del CEO.
        _ Usan un dominio muy parecido (ejemplo: micoreporacion.com en vez de micorporacion.com)
        _ O directamente hackean el correo real del jefe.
    2. Crear un mensaje urgente. Ejemplos típicos:
        _ “Necesito una transferencia inmediata. Estoy en una reunión y no puedo hablar.”
        _ “Envíame los datos de nómina ahora mismo.”
        _ “Tenemos un acuerdo confidencial, actúa YA.”
    3. Presionar para que no se verifique la orden. El objetivo es que el empleado actúe sin comprobar nada.

Cómo protegerte del Fraude del CEO

1. Verifica SIEMPRE por un segundo canal. Si recibes una instrucción sensible:
    _ Llama por teléfono
    _ Pregunta por WhatsApp interno
    _ Usa el canal oficial de la empresa
    _ Nunca actúes solo por un email.

2. Revisa el remitente con detalle. Comprueba:
    _ Nombre exacto
    _ Dominio (letras cambiadas, dobles, números)
    _ Fecha y firma habitual del directivo
    _ Un pequeño cambio es suficiente para una estafa.

3. Ojo con la urgencia. Si el mensaje insiste en palabras como:
    _ "urgente"
    _ "confidencial"
    _ "nadie más debe saberlo"

…probablemente es un intento de engaño.

4. Activa autenticación en dos pasos (2FA). Si los ciberdelincuentes no pueden entrar en el correo del CEO, el ataque se complica. Usa:
    _ Google Authenticator
    _ Microsoft Authenticator
    _ Authy
    _ YubiKey (si quieres máxima seguridad)

5. Capacitación continua. Forma a los empleados para detectar este tipo de correos. El conocimiento es la mejor defensa en ingeniería social.

Recomendaciones de herramientas para protegerte

        _ Filtro anti-spoofing DKIM, SPF y DMARC. Evitan suplantaciones del correo corporativo.
    _ Gestores de identidad y acceso (IAM):
        _ Okta
        _ Microsoft Entra ID
        _ JumpCloud
    _ Herramientas de validación automática de pagos.
        _ Reglas que requieren doble verificación humana.
        _ Sistemas que bloquean movimientos no habituales.
    _ Servicio de correo seguro:
        _ Gmail Workspace
        _ Microsoft 365
    Incluyen detección avanzada de suplantaciones.