no vas a poder recobrar nunca tu dinero
El planteamiento es muy sencillo: ¿qué harías si te llega un mensaje de tu jefe con el asunto: ayuda? ¿Lo abrirías? ¿No? Lo más probable es que, dada la excepcionalidad de la situación, le dediques cierto tiempo. Tal vez no más de un minuto, mas el simple hecho de que tu superior te pueda estar solicitando información o bien dinero resulta más que sugerente. Entonces, pinchas en el correo y… se desata el ciberataque.
El timo del CEO es un género de estafa en la que se suplanta la identidad de tu jefe para acceder a los sistemas informáticos de una compañía
A rasgos generales, es de este modo como marcha el timo del CEO, un género de estafa en la que se suplanta la identidad de tu jefe para acceder a los sistemas informáticos de una compañía. Si bien esto suene a ciencia ficción, la realidad es que existe algún precedente. Por servirnos de un ejemplo, en dos mil diecinueve, un conjunto de piratas informáticos logró hurtar 4 millones de euros a la EMT de Valencia por esta vía. Y, recientemente, lo vivimos cada cierto tiempo por culpa de la crisis sanitaria provocada por el COVID-diecinueve.
La última gran proeza de estos criminales está relacionada, exactamente, con su vacuna: el conjunto farmacéutico Zendal, que iba a desarrollar la suya en sus instalaciones de Galicia, ha sufrido una pérdida de 9 millones de euros asimismo por medio de está práctica.
Si por algo se caracteriza esta técnica de Business e-mail compromise(BEC) es por la alta personalización que presentan los e mails mandados. Reproducen a la perfección el tono y el género de relación que cada trabajador sostiene con su jefe, lo que hace que todo cobre una veracidad máxima. ¿Quién puede meditar que tras un mensaje de ayuda se puede ocultar un timo?
Por tanto, requiere un control anterior de la compañía. Aun, en ocasiones, asimismo introducen algún programa malicioso para conseguir más información a este respecto. Ahora, el delincuente tiene 2 opciones: usar el mail o bien efectuar una llamada para pedir el desvío de determinados fondos a una cuenta determinada que, en cuestión de minutos, sería vaciada.
Si se opta por la primera opción, cabe la posibilidad de que el trabajador se percate de que no se trata de un correo institucional, con lo que la segunda posibilidad resulta más eficaz. Esto es, ¿que harías si tu superior te llama y te solicita de forma directa que efectúes una determinada operación bancaria? Lo haces al instante. Para esto, tan solo se requiere saber el nombre del empleado y su número.
Variaciones de ‘Man in the middle’
Una variación más reciente de este género de ataque es el ataque man-in-the-browser. En este contexto, el ciberdelincuente utiliza una serie de métodos para introducir un código malicioso en el equipo de la víctima, el que marcha en el navegador. Este malware registra, sigilosamente, los datos mandados entre el navegador y las páginas. Estos ataques han ganado en popularidad por el hecho de que dejan al criminal agredir a un conjunto mayor de víctimas sin la necesidad de estar cerca de estas.