Estafan cinco millones de euros a cuatro empresas de Sevilla a través del «timo del CEO»
Los ciberdelincuentes lograron hacer transferencias bancarias suplantando a algunos de los ejecutivos de la compañía
El grupo de Delitos Tecnológicos de la Unidad de la Unidad de Delincuencia Económica y Fiscal (Udef ) de la Jefatura Superior de Policía de Andalucía Occidental está investigando la estafa de cinco millones de euros a cuatro empresas de Sevilla a través del «timo del CEO», siglas que en inglés designan al director ejecutivo de una compañía. En la mayoría de los casos, los ciberdelincuentes no tuvieron ni que hackear las correos electrónicos, ya que les bastó con suplantar por e mail o teléfono a los presidentes, consejeros delegados y gerentes de las compañías para ordenar transferencias millonarias a países como China.
Por el momento no se ha detenido a los autores de estas estafas en Sevilla porque son investigaciones policiales que precisan de mucho tiempo, ya que el dinero transferido acaba en otros países, por lo que el grupo de Delitos Tecnológicos tiene que pedir una comisión rogatoria a los jueces que investigan los hechos con el objeto de que éstos soliciten a otros países gestiones para localizar a esos delincuentes.
Según fuentes consultadas por ABC, l a «estafa del CEO» es una variante del «phishing» que consiste en suplantar la personalidad de directivos de empresas y ordenar a trabajadores del departamento de gestión económica de la compañía que hagan transferencias bancarias. Hay dos maneras de realizar este timo: mediante ingeniería social o hackeando el correo electrónico del directivo.
Ingeniería social
Cuando se usa la ingeniería social se suele realizar esta estafa durante las vacaciones de verano o cuando el presidente está fuera de España en un viaje de negocios. Una de las empresas sevillanas estafadas sufrió el «timo del CEO» el pasado mes de agosto . Uno de los delincuentes llamó a la empresa y solicitó hablar con el presidente, a sabiendas de que estaba en el extranjero. Cuando le comunicaron que estaba fuera de la compañía, pidió hablar con el responsable de gestión económica y le anunciaron que estaba también de vacaciones. Solicitó entonces que le pasaran con la secretaria del presidente, a quien dijo que era de una empresa que estuvo hablando con el presidente, al que citó por su nombre de pila, y que éste le pidió que le enviara un correo electrónico pero que no se acordó de dárselo. Entonces, la secretaria le dio la dirección del correo electrónico del presidente, dirección que no figura en ninguna web. Primer objetivo conseguido.
A continuación, el delincuente comunicó a la secretaria que tenía que hacer un ingreso en la empresa, para lo cual le dio el correo electrónico de la persona que se ocupa de esos menesteres en la empresa. Segundo objetivo conseguido. En ese momento, el delincuente ya tenía en sus manos el correo del presidente y de un empleado del departamento de gestión económica.
El paso siguiente fue enviar al trabajador de gestión económica un e mail con una dirección de correo electrónico muy parecida a la del presidente, por lo que no levantó sospechas en el empleado, ya que la diferencia era apenas perceptible. En ese correo, el cibercriminal que se hacía pasar por el presidente de la compañía informaba al trabajador de gestión económica que en breve le llamarían de un bufete de abogados para enviarle una cosa, pidiendo al empleado la máxima discreción porque era la única persona que iba a conocer el tema, ya que se trataba de una compra que no podía salir a la luz pública.
El trabajador engañado creyó que el presidente le había encomendado algo especial , por lo que se mostró dispuesto a cumplir a rajatabla lo solicitado. A continuación, ese empleado recibió una llamada de una persona que se identificó como miembro de un despacho de abogados informándole de que, como ya le habría dicho el presidente, le iba a mandar un contrato de confidencialidad que tendría que devolverle firmado. El delincuente en cuestión le informó que el presidente le diría a través de e mail las cantidades que tendría que transferir y las cuentas a las que tenía que hacerlo. Asimismo, el ciberdelincuente le pidió que le mandara a continuación lo recibos de haber tenviado ese dinero con la promesa de que le daría la conformidad de las transferencias. Con ese modus operandi, la banda criminal no tuvo ni hackear el correo electrónico del presidente.
La empleada fiel transfirió casi tres millones de euros a una cuenta bancaria de China. Los movimientos bancarios pasaron desapercibidos en agosto porque la mayoría de directivos estaba de vacaciones. Cuando éstos se dieron cuenta del timo y denunciaron los hechos, el banco con el que trabajaba la empresa logró anular varias de esas transferencias, pero otras no, con lo que la estafa alcanzó el millón de euros.
Noticias relacionadas
