¿Jefe o estafador? Estafa disfrazada como solicitudes de tu jefe

¿Recibiste un mensaje de tu jefe o compañero de trabajo en el que te pide que “soluciones un problema” de una manera inesperada? ¡Cuidado con los estafadores! ¿Cómo te proteges a ti y a tu empresa de un posible ataque?

Imagina que recibes una llamada o un mensaje de tu superior inmediato, o incluso del jefe de toda la empresa. Te advierten sobre una situación desagradable que se está desarrollando. Supone multas u otras pérdidas económicas para la empresa, grandes problemas para el departamento y un posible despido en lo personal. Te corre sudor frío por la espalda, ¡pero aún hay una oportunidad de salvar el día! Por supuesto, tendrás que darte prisa y hacer algunas cosas que no sueles hacer, pero todo estará bien…

Mantén la calma y respira hondo. Hay un 99 % de probabilidad de que toda esta emergencia sea completamente falsa y de que las personas en la línea sean estafadores. Entonces, ¿cómo puedes reconocer un ataque de este tipo y protegerte?

Anatomía del ataque

Existen muchas formas de ataques. Los estafadores pueden describir diversos problemas a los que se enfrenta la empresa según el país, citar la participación de los organismos reguladores, la policía o los principales partners comerciales, y sugerir todo tipo de formas de resolver el problema. Sin embargo, hay una serie de aspectos clave, puntos de apoyo psicológico cruciales, sin los cuales el ataque es casi imposible. Estos se pueden usar para reconocer el ataque.

  1. La autoridad del jefe o la confianza en alguien conocido. A estas alturas, la mayoría de las personas han desarrollado una resistencia a las solicitudes extrañas de desconocidos, ya sea un inspector de policía que ha tenido la ocurrencia de ponerse en contacto contigo a través de mensajería instantánea o el empleado de un banco que se preocupa personalmente por tu bienestar. Este esquema es diferente: la persona que se acerca a la víctima parece ser alguien a quien conoces en cierta medida y, además, una persona bastante importante. Los estafadores suelen escoger como cebo el perfil de un directivo de nivel C. En primer lugar, tienen autoridad y, en segundo lugar, lo más probable es que la víctima conozca a la persona, pero no lo suficiente como para detectar las inevitables diferencias en la forma de hablar o de escribir. Sin embargo, existen otras variaciones de este esquema en las que los estafadores se hacen pasar por un colega de trabajo de un departamento importante, como el de contabilidad o el legal.
  2. Redirección a un tercero externo. En los casos más básicos, el “colega de trabajo” o el “directivo” que se pone en contacto contigo es también la persona de la que recibes una solicitud económica. Pero lo más frecuente es que, después del contacto inicial, el “jefe” te sugiera discutir los detalles del asunto con un contratista externo que se pondrá en contacto contigo. En función de los detalles de la estafa, esta “persona asignada” puede presentarse como un funcionario encargado de hacer cumplir la ley o de impuestos, un empleado bancario, un auditor, etc., siempre que no tenga que hacerse pasar por alguien que la víctima conozca. El “jefe” te pedirá que le brindes a la “persona designada” toda la ayuda posible y que te asegures de no perder el tiempo hablando con ella. Dicho esto, las estafas más elaboradas, como la de los 25 millones de USD robados después de una videoconferencia deepfake, pueden hacer que los estafadores se hagan pasar por empleados de la empresa en todo momento.
  3. La solicitud tiene que ser urgente para no dar tiempo a la víctima a que se detenga a analizar la situación. “La auditoría es mañana”, “los partners acaban de llegar”, “el importe se cobra esta tarde”: en fin, hay que actuar ya. Los estafadores suelen llevar a cabo esta parte de la conversación por teléfono y le dicen a la víctima que no cuelgue hasta que se transfiera el dinero.
  4. Secreto absoluto. Para evitar que alguien interfiera con el plan, el “jefe” advierte a la víctima que tiene prohibido hablar del incidente con alguien, ya que su divulgación podría tener consecuencias catastróficas. El estafador puede decir que no tiene a nadie más en quien confiar o que algunos de los otros empleados son delincuentes o desleales a la empresa. Por lo general, intentarán que la víctima no hable con nadie hasta que se cumplan sus exigencias.
Ejemplo de correo electrónico de estafa de jefe falso.

Ejemplo de correo electrónico de estafa de jefe falso.

Objetivos del ataque

Según el empleo y el nivel de ingresos de la víctima, un ataque puede tener distintos objetivos. Si la empresa autoriza a la víctima a realizar transacciones financieras, los estafadores intentarán convencerla de que realice un pago secreto urgente a algún proveedor, como un bufete de abogados para que le ayude a resolver problemas, o simplemente para que transfiera el dinero de la empresa a una cuenta “segura”.

Los empleados que no manejan dinero serán blanco de ataques que buscan obtener datos de la empresa, como contraseñas de sistemas internos o de sus propios fondos. Los estafadores pueden inventar cientos de historias que van desde una filtración de datos contables que pone en peligro la cuenta de la víctima hasta la necesidad de mantener cerrada la brecha de efectivo de la empresa hasta que se realice la auditoría. En cualquier caso, se le pedirá a la víctima que utilice su dinero de alguna manera: transferirlo a otra cuenta, pagar tarjetas de regalo o vales, o retirarlo y entregárselo a una “persona de confianza”. Para ser aún más convincentes, los estafadores pueden prometerle a la víctima una generosa compensación por sus gastos y esfuerzos, pero más adelante.

Nivel de detalle convincente

Las publicaciones en las redes sociales y las numerosas filtraciones de datos han facilitado en gran medida que los estafadores puedan llevar a cabo ataques personalizados y cuidadosamente preparados. Pueden encontrar los nombres completos de la víctima, sus superiores inmediatos, el director general y los empleados de los departamentos importantes, como contabilidad, junto con los nombres exactos de los departamentos; encontrar fotografías de estas personas para crear perfiles de mensajería instantánea convincentes y, si es necesario, incluso usar muestras de voz para crear deepfakes de audio. Si hay mucho dinero en juego, los estafadores pueden invertir mucho tiempo en hacer que el plan sea lo más convincente posible. En algunos casos, los atacantes incluso conocían la ubicación de los departamentos de la empresa dentro de los edificios y las posiciones de los escritorios de los empleados.

Aspecto técnico del ataque

Los planes sofisticados como este casi siempre incluyen una llamada telefónica de los estafadores. Sin embargo, la “llamada inicial del jefe” también puede ser en forma de correo electrónico o mensaje instantáneo. En las versiones más sencillas del ataque, los estafadores se limitan a crear una nueva cuenta de mensajería instantánea o de correo electrónico con el nombre del directivo y, en casos más sofisticados, piratean su correo electrónico corporativo o sus cuentas personales. Esto se denomina ataque BEC (ataque al correo electrónico corporativo).

En cuanto a las llamadas telefónicas, los estafadores suelen utilizar servicios de suplantación de números u obtienen una copia ilegal de la tarjeta SIM: el identificador de llamadas de la víctima muestra entonces el número de teléfono general de la empresa o incluso el de su propio jefe.

Los responsables maliciosos pueden utilizar generadores de voz deepfake, por lo que una voz familiar al otro lado no puede garantizar la autenticidad de la persona que llama. Este tipo de planes pueden incluso utilizar videollamadas, en las que la cara de la persona que llama también es un deepfake.

Protégete de los estafadores

En primer lugar, la atención y el valor para verificar la información a pesar de las amenazas de los estafadores son dos cosas que pueden protegerte de este tipo de ataques.

Tómatelo con calma y no entres en pánico. El objetivo de los estafadores es despistarte. Mantén la calma y confirma todos los hechos. Aunque la otra parte insista en que no cuelgues el teléfono, siempre puedes fingir que se ha cortado la llamada. Así ganarás tiempo para comprobar los hechos.

Presta atención a la dirección, el teléfono y el nombre de usuario del remitente. Si sueles mantener correspondencia con tu jefe por correo electrónico, pero de repente recibes un mensaje instantáneo en su nombre desde un número desconocido, debes prestar atención. Si siempre has hablado a través de una aplicación de mensajería instantánea y recibes un mensaje nuevo sin historial, significa que alguien está utilizando una cuenta recién creada, lo que supone una importante señal de alarma. Lamentablemente, los ciberdelincuentes suelen utilizar direcciones de correo electrónico falsas, difíciles de distinguir de las reales, o cuentas de correo electrónico o de mensajería instantánea pirateadas. Todo esto hace que la detección de falsificaciones sea mucho más difícil.

Presta atención a los pequeños detalles. Si una persona que conoces se ha acercado a ti con una solicitud extraña, ¿hay algo en la situación que te indique que la persona puede ser una impostora? ¿Sus correos electrónicos parecen un poco inusuales? ¿Utilizan figuras retóricas poco habituales? ¿Suelen llamarse por el nombre de pila, pero en cambio utilizan un tratamiento formal? Intenta preguntarles algo que solo la persona real sepa.

Si recibes una solicitud fuera de lo normal, debes alertar al resto. Si tu jefe o compañero de trabajo te pide que hagas algo fuera de lo normal y de modo urgente, y además que lo guardes en secreto, casi siempre es señal de una estafa. Por lo tanto, es fundamental que verifiques la información que obtengas y confirmes la identidad de la otra parte. Lo mínimo que puedes hacer es ponerte en contacto con esa persona utilizando otro canal de comunicación. Lo mejor es ir en persona, pero si no es posible, llama al número de su oficina o de su casa que tengas en la agenda, o marca ese número manualmente, pero no te limites a marcar el último número entrante para evitar caer de nuevo en manos de estafadores. Utiliza cualquier otro canal de comunicación disponible. El número de teléfono móvil que te ha llamado (incluso si es el número real de tu jefe o colega de trabajo que tienes guardado en la agenda) podría verse vulnerada por un intercambio de SIM o un mero robo de teléfono.

Consulta con tus compañeros de trabajo. A pesar de que te pidan que “mantengas todo en secreto”, según el tipo de solicitud, no está de más que verifiques la información con tus compañeros de trabajo. Si recibes lo que parece ser un mensaje de alguien del departamento de contabilidad, ponte en contacto con otras personas del mismo departamento.

Advierte a tus compañeros de trabajo y a los funcionarios encargados de hacer cumplir la ley. Si recibiste un mensaje de este tipo, significa que los estafadores tienen como objetivo tu organización y a tus compañeros de trabajo. Si sus trucos no funcionan contigo, lo intentarán con el siguiente departamento. Advierte a tus compañeros de trabajo, avisa a seguridad y denuncia el intento de estafa a la policía.

Consejos