21 septiembre, 2023

Empresa del Estado frustra «fraude del CEO»: aquí les contamos cómo lo hicieron

Recientemente, una empresa pública logró detectar a tiempo un ejemplo de un tipo estafa virtual que ha ganado prominencia y logrado sustraer cuantiosos montos a compañías de todo tipo alrededor del mundo. Se trata del denominado fraude del CEO, o Business Email Compromise (BEC), un ataque de ingeniería social en el que, a grandes rasgos, delincuentes se hacen pasar por altos ejecutivos de una compañía (como puede ser el gerente general, CEO en inglés) para lograr que sus empleados, o los de una empresa cliente o proveedora, realicen acciones perjudiciales (transferencia de fondos no autorizados, la divulgación de información confidencial o la realización de acciones que benefician al atacante), lo que puede resultar en pérdidas financieras significativas y daños a la reputación de las organizaciones afectadas.

En este caso, fue un jefe de departamento de la que llamaremos Empresa A, quien recibió un mensaje de WhatsApp de alguien que se hacía pasar por el exgerente general de otra firma pública (que llamaremos Empresa B), usando para ello una imagen del ejecutivo obtenida de sus redes sociales. Se aprovechó de que el jefe de departamento es un exfuncionario de la Empresa B, lo que aumentó su confianza y ayudó a que no sospechara de ser contactado por esta persona.

El falso ejecutivo le pidió al jefe de departamento la dirección de email de algún contacto en la Empresa A que pudiera dar curso a una supuesta negociación financiera entre ambas compañías. La persona que recibió el WhatsApp no sospechó, y le entregó la dirección de email de la una persona que trabaja con un alto ejecutivo de la Empresa A, y que cumple un rol muy relevante en el flujo de aprobaciones de la compañía.

Contando con su dirección de correo, los malhechores enviaron un email argumentando que necesitaban cerrar con urgencia un negocio de alto nivel, solo conocido por las más altas esferas de ambas compañías, indicando también el monto de la transacción necesaria. Incluso mencionan en el email a un abogado de una prestigiosa firma, con la intención de darle mayor credibilidad al mensaje.

LA DETECCIÓN

Es en este punto en el que comienzan las sospechas que permitirían a Empresa A detectar el esquema delictual. Una persona responsable de la secretaría general, que recibe el email, nota que la dirección del remitente que se muestra en el correo termina en @empresaA, debiendo realmente provenir de una dirección @empresaB. Además, el texto del correo se refiere al abogado con el honorífico de “doctor”, algo que no es costumbre hacer en Chile.

El texto estaba planteado además en términos de urgencia por cerrar el convenio, e insistía en mantener la conversación de forma confidencial, ambas características de este tipo de ataques.

Estos indicios hicieron a la persona receptora del mensaje sospechar y contactar al Subgerente de TI de Empresa A, quien derivó el tema al Oficial de Seguridad de la firma.

Tras revisar el correo electrónico, el oficial de Seguridad instruyó al personal de Empresa A a cancelar toda comunicación o contacto con los actores maliciosos.

Finalmente, el Oficial de Seguridad informó de lo sucedido al Comité de Seguridad de Empresa A, incluyendo el potencial alcance del ataque frustrado y los mecanismos que fueron utilizados.

Empresa A determinó, como pasos a seguir, el gestionar una nueva sesión de concienciación de la primera línea ejecutiva sobre los ataques de tipo BEC, y coordinar una sesión con los directores de la compañía, para formalizar el proceso de concientización, y tomó contacto con el CSIRT de Gobierno

CONCLUSIONES

Es crucial que todos los miembros de la organización tengan conciencia de los riesgos de este y otros tipos de estafa, y que sepan a qué detalles estar pendientes para detectarlas.

En este caso, fue determinante que la persona de la secretaría general notara la dirección electrónica del remitente, y leyera con detención el mensaje, notando errores de redacción sutiles, pero determinantes.

Se debe reforzar entre los trabajadores que, tal como en el caso planteado, ante alguna duda o sospecha en un correo electrónico se debe avisar cuanto antes a los encargados de seguridad de la información en la compañía.

El Oficial de Seguridad de la empresa también actuó correcta y decisivamente, al llamar a cortar comunicación con los delincuentes al observar las inconsistencias denunciadas por la persona que recibió el email.

Es necesario que transacciones de alta relevancia, como la realización de pagos a otras compañías, siga siempre los procedimientos regulares establecidos por la organización. Por ejemplo, en el caso de Empresa A, que exige la autorización por parte de distintos ejecutivos de la compañía para aprobar un pago de los montos requeridos por los delincuentes, un esquema como el planteado en este BEC, con casi total certeza no hubiera podido prosperar, incluso de no ser detectado cuando lo fue.

Dado lo anterior, se debe concienciar a los trabajadores de nunca saltarse los procedimientos regulares, por mucha urgencia o secreto que exija un mensaje que reciban, o que este diga provenir de sus superiores jerárquicos o incluso del gerente general de la empresa.

Siempre que exista un incidente que haya presentado afectación o revista de características especialmente peligrosas se debe notificar al CSIRT de Gobierno.

Guía sobre el BEC y cómo protegernos: https://www.csirt.gob.cl/recomendaciones/bec-2023/

Empresa del Estado frustra «fraude del CEO»: aquí les contamos cómo lo hicieron