La semana pasada el grupo farmacéutico Zendal, que iba a desarrollar una vacuna contra la Covid-19 en sus instalaciones de Galicia, sufrió el robo de 9 millones de euros por culpa del Timo del CEO.
La ingeniería social, o la capacidad de llamar la atención de la gente con mensajes impactantes, es una de las herramientas más empleadas por los grupos de amenazas para lanzar ciberataques. Y es que, si uno recibe un correo electrónico en el que se le dice que debe un recibo del teléfono, o que Hacienda le va a dar dinero, lo normal es que, como mínimo, se detenga un rato a pensar si la comunicación es veraz. Lo mismo se podría decir de un mensaje en el que, supuestamente, su jefe del trabajo le solicita información o dinero.
El timo del CEO, que es como se conoce a las acciones en las que los ciberdelincuentes suplantan al ejecutivo de turno para conseguir que un empleado haga lo que desee, lleva causando problemas a las compañías desde hace años. A finales de 2019, este «truco» sirvió para robarle cuatro millones de euros a la EMT de Valencia. Asimismo, durante los últimos meses, se han dado casos en los que los atacantes han aprovechado la crisis sanitaria para sacarle partido a la técnica. De hecho, recientemente se ha sabido que el grupo farmacéutico Zendal, que iba a desarrollar una vacuna contra el virus en sus instalaciones de Galicia, ha sufrido una pérdida de 9 millones de euros por su culpa.
«Lo que popularmente se conoce como “el timo del CEO”, técnicamente se denomina Business Email Compromise (BEC) y es una técnica de ataque que va en aumento. Son ataques altamente personalizados y de gran impacto. Estas estafas explotan el hecho de que cada vez más organizaciones dependen del correo electrónico para hacer negocios, tanto personales como profesionales, y es uno de los delitos “online” más perjudiciales desde el punto de vista financiero. Según el Internet Crime Report del FBI de 2019, los ataques BEC fueron el quinto tipo más común de ciberataque, pero en cuanto a las pérdidas, los ataques BEC representaron más de la mitad de todas las pérdidas por cibercrimen», exlica a este diario Josu Franco, asesor en estrategia y tecnología de Panda Security.
Y es que, este tipo de ataque no solo es capaz de proporcionarle al cibercriminal un gran rédito económico. Tampoco es necesario dedicarle demasiados esfuerzos. «Hacerse pasar por un ejecutivo para cambiar métodos de pago, o solicitar que se realicen transacciones electronicas de un proveedor, es muy sencillo. Por ejemplo, si el ciberdelincuente sabe que una compañía tiene un proyecto que se va a pagar, solo necesita hacerse pasar por un ejecutivo de la compañía y hablar con la persona para que haga los cambios necesarios. Si se hace pasar por alguien importante es fácil que lo consigue», le dice a ABC Eusebio Nieva, director técnico de la empresa de ciberseguridad Check Point en España y Portugal.
