{"id":27130,"date":"2024-04-03T13:02:15","date_gmt":"2024-04-03T19:02:15","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=27130"},"modified":"2024-04-03T13:02:15","modified_gmt":"2024-04-03T19:02:15","slug":"how-to-spot-and-prevent-boss-scams","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/how-to-spot-and-prevent-boss-scams\/27130\/","title":{"rendered":"\u00bfJefe o estafador? Estafa disfrazada como solicitudes de tu jefe"},"content":{"rendered":"

Imagina que recibes una llamada o un mensaje de tu superior inmediato, o incluso del jefe de toda la empresa. Te advierten sobre una situaci\u00f3n desagradable que se est\u00e1 desarrollando. Supone multas u otras p\u00e9rdidas econ\u00f3micas para la empresa, grandes problemas para el departamento y un posible despido en lo personal. Te corre sudor fr\u00edo por la espalda, \u00a1pero a\u00fan hay una oportunidad de salvar el d\u00eda! Por supuesto, tendr\u00e1s que darte prisa y hacer algunas cosas que no sueles hacer, pero todo estar\u00e1 bien\u2026<\/p>\n

Mant\u00e9n la calma y respira hondo. Hay un 99\u00a0% de probabilidad de que toda esta emergencia sea completamente falsa y de que las personas en la l\u00ednea sean estafadores. Entonces, \u00bfc\u00f3mo puedes reconocer un ataque de este tipo y protegerte?<\/p>\n

Anatom\u00eda del ataque<\/h2>\n

Existen muchas formas de ataques. Los estafadores pueden describir diversos problemas a los que se enfrenta la empresa seg\u00fan el pa\u00eds, citar la participaci\u00f3n de los organismos reguladores, la polic\u00eda o los principales partners comerciales, y sugerir todo tipo de formas de resolver el problema. Sin embargo, hay una serie de aspectos clave, puntos de apoyo psicol\u00f3gico cruciales, sin los cuales el ataque es casi imposible. Estos se pueden usar para reconocer el ataque.<\/p>\n

    \n
  1. La autoridad del jefe o la confianza en alguien conocido.<\/strong> A estas alturas, la mayor\u00eda de las personas han desarrollado una resistencia a las solicitudes extra\u00f1as de desconocidos, ya sea un inspector de polic\u00eda que ha tenido la ocurrencia de ponerse en contacto contigo a trav\u00e9s de mensajer\u00eda instant\u00e1nea o el empleado de un banco que se preocupa personalmente por tu bienestar. Este esquema es diferente: la persona que se acerca a la v\u00edctima parece ser alguien a quien conoces en cierta medida y, adem\u00e1s, una persona bastante importante. Los estafadores suelen escoger como cebo el perfil de un directivo de nivel C. En primer lugar, tienen autoridad y, en segundo lugar, lo m\u00e1s probable es que la v\u00edctima conozca a la persona, pero no lo suficiente como para detectar las inevitables diferencias en la forma de hablar o de escribir. Sin embargo, existen otras variaciones de este esquema en las que los estafadores se hacen pasar por un colega de trabajo de un departamento importante, como el de contabilidad o el legal.<\/li>\n
  2. Redirecci\u00f3n a un tercero externo.<\/strong> En los casos m\u00e1s b\u00e1sicos, el \u201ccolega de trabajo\u201d o el \u201cdirectivo\u201d que se pone en contacto contigo es tambi\u00e9n la persona de la que recibes una solicitud econ\u00f3mica. Pero lo m\u00e1s frecuente es que, despu\u00e9s del contacto inicial, el \u201cjefe\u201d te sugiera discutir los detalles del asunto con un contratista externo que se pondr\u00e1 en contacto contigo. En funci\u00f3n de los detalles de la estafa, esta \u201cpersona asignada\u201d puede presentarse como un funcionario encargado de hacer cumplir la ley o de impuestos, un empleado bancario, un auditor, etc., siempre que no tenga que hacerse pasar por alguien que la v\u00edctima conozca. El \u201cjefe\u201d te pedir\u00e1 que le brindes a la \u201cpersona designada\u201d toda la ayuda posible y que te asegures de no perder el tiempo hablando con ella. Dicho esto, las estafas m\u00e1s elaboradas, como la de los 25\u00a0millones de\u00a0USD robados despu\u00e9s de una videoconferencia deepfake<\/a>, pueden hacer que los estafadores se hagan pasar por empleados de la empresa en todo momento.<\/li>\n
  3. La solicitud tiene que ser urgente para no dar tiempo a la v\u00edctima a que se detenga a analizar la situaci\u00f3n. \u201cLa auditor\u00eda es ma\u00f1ana\u201d, \u201clos partners acaban de llegar\u201d, \u201cel importe se cobra esta tarde\u201d: en fin, hay que actuar ya. Los estafadores suelen llevar a cabo esta parte de la conversaci\u00f3n por tel\u00e9fono y le dicen a la v\u00edctima que no cuelgue hasta que se transfiera el dinero.<\/li>\n
  4. Secreto absoluto.<\/strong> Para evitar que alguien interfiera con el plan, el \u201cjefe\u201d advierte a la v\u00edctima que tiene prohibido hablar del incidente con alguien, ya que su divulgaci\u00f3n podr\u00eda tener consecuencias catastr\u00f3ficas. El estafador puede decir que no tiene a nadie m\u00e1s en quien confiar o que algunos de los otros empleados son delincuentes o desleales a la empresa. Por lo general, intentar\u00e1n que la v\u00edctima no hable con nadie hasta que se cumplan sus exigencias.<\/li>\n<\/ol>\n
    \"Ejemplo<\/a>

    Ejemplo de correo electr\u00f3nico de estafa de jefe falso.<\/p><\/div>\n

    Objetivos del ataque<\/h2>\n

    Seg\u00fan el empleo y el nivel de ingresos de la v\u00edctima, un ataque puede tener distintos objetivos. Si la empresa autoriza a la v\u00edctima a realizar transacciones financieras, los estafadores intentar\u00e1n convencerla de que realice un pago secreto<\/a> urgente a alg\u00fan proveedor, como un bufete de abogados para que le ayude a resolver problemas, o simplemente para que transfiera el dinero de la empresa a una cuenta \u201csegura\u201d.<\/p>\n

    Los empleados que no manejan dinero ser\u00e1n blanco de ataques que buscan obtener datos de la empresa, como contrase\u00f1as de sistemas internos o de sus propios fondos. Los estafadores pueden inventar cientos de historias que van desde una filtraci\u00f3n de datos contables que pone en peligro la cuenta de la v\u00edctima hasta la necesidad de mantener cerrada la brecha de efectivo de la empresa hasta que se realice la auditor\u00eda. En cualquier caso, se le pedir\u00e1 a la v\u00edctima que utilice su dinero de alguna manera: transferirlo a otra cuenta, pagar tarjetas de regalo<\/a> o vales, o retirarlo y entreg\u00e1rselo a una \u201cpersona de confianza\u201d. Para ser a\u00fan m\u00e1s convincentes, los estafadores pueden prometerle a la v\u00edctima una generosa compensaci\u00f3n por sus gastos y esfuerzos, pero m\u00e1s adelante.<\/p>\n

    Nivel de detalle convincente<\/h2>\n

    Las publicaciones en las redes sociales y las numerosas filtraciones de datos han facilitado en gran medida que los estafadores puedan llevar a cabo ataques personalizados y cuidadosamente preparados. Pueden encontrar los nombres completos de la v\u00edctima, sus superiores inmediatos, el director general y los empleados de los departamentos importantes, como contabilidad, junto con los nombres exactos de los departamentos; encontrar fotograf\u00edas de estas personas para crear perfiles de mensajer\u00eda instant\u00e1nea convincentes y, si es necesario, incluso usar muestras de voz para crear deepfakes de audio. Si hay mucho dinero en juego, los estafadores pueden invertir mucho tiempo en hacer que el plan sea lo m\u00e1s convincente posible. En algunos casos<\/a>, los atacantes incluso conoc\u00edan la ubicaci\u00f3n de los departamentos de la empresa dentro de los edificios y las posiciones de los escritorios de los empleados.<\/p>\n

    Aspecto t\u00e9cnico del ataque<\/h2>\n

    Los planes sofisticados como este casi siempre incluyen una llamada telef\u00f3nica de los estafadores. Sin embargo, la \u201cllamada inicial del jefe\u201d tambi\u00e9n puede ser en forma de correo electr\u00f3nico o mensaje instant\u00e1neo. En las versiones m\u00e1s sencillas del ataque, los estafadores se limitan a crear una nueva cuenta de mensajer\u00eda instant\u00e1nea o de correo electr\u00f3nico con el nombre del directivo y, en casos m\u00e1s sofisticados, piratean su correo electr\u00f3nico corporativo o sus cuentas personales. Esto se denomina ataque BEC (ataque al correo electr\u00f3nico corporativo)<\/a>.<\/p>\n

    En cuanto a las llamadas telef\u00f3nicas, los estafadores suelen utilizar servicios de suplantaci\u00f3n de n\u00fameros u obtienen una copia ilegal de la tarjeta SIM<\/a>: el identificador de llamadas de la v\u00edctima muestra entonces el n\u00famero de tel\u00e9fono general de la empresa o incluso el de su propio jefe.<\/p>\n

    Los responsables maliciosos pueden utilizar generadores de voz deepfake<\/a>, por lo que una voz familiar al otro lado no puede garantizar la autenticidad de la persona que llama. Este tipo de planes pueden incluso utilizar videollamadas, en las que la cara de la persona que llama tambi\u00e9n es un deepfake<\/a>.<\/p>\n

    Prot\u00e9gete de los estafadores<\/h2>\n

    En primer lugar, la atenci\u00f3n y el valor para verificar la informaci\u00f3n a pesar de las amenazas de los estafadores son dos cosas que pueden protegerte de este tipo de ataques.<\/p>\n

    T\u00f3matelo con calma y no entres en p\u00e1nico.<\/strong> El objetivo de los estafadores es despistarte. Mant\u00e9n la calma y confirma todos los hechos. Aunque la otra parte insista en que no cuelgues el tel\u00e9fono, siempre puedes fingir que se ha cortado la llamada. As\u00ed ganar\u00e1s tiempo para comprobar los hechos.<\/p>\n

    Presta atenci\u00f3n a la direcci\u00f3n, el tel\u00e9fono y el nombre de usuario del remitente. <\/strong>Si sueles mantener correspondencia con tu jefe por correo electr\u00f3nico, pero de repente recibes un mensaje instant\u00e1neo en su nombre desde un n\u00famero desconocido, debes prestar atenci\u00f3n. Si siempre has hablado a trav\u00e9s de una aplicaci\u00f3n de mensajer\u00eda instant\u00e1nea y recibes un mensaje nuevo sin historial, significa que alguien est\u00e1 utilizando una cuenta reci\u00e9n creada, lo que supone una importante se\u00f1al de alarma. Lamentablemente, los ciberdelincuentes suelen utilizar direcciones de correo electr\u00f3nico falsas, dif\u00edciles de distinguir de las reales, o cuentas de correo electr\u00f3nico o de mensajer\u00eda instant\u00e1nea pirateadas. Todo esto hace que la detecci\u00f3n de falsificaciones sea mucho m\u00e1s dif\u00edcil.<\/p>\n

    Presta atenci\u00f3n a los peque\u00f1os detalles.<\/strong> Si una persona que conoces se ha acercado a ti con una solicitud extra\u00f1a, \u00bfhay algo en la situaci\u00f3n que te indique que la persona puede ser una impostora? \u00bfSus correos electr\u00f3nicos parecen un poco inusuales? \u00bfUtilizan figuras ret\u00f3ricas poco habituales? \u00bfSuelen llamarse por el nombre de pila, pero en cambio utilizan un tratamiento formal? Intenta preguntarles algo que solo la persona real sepa.<\/p>\n

    Si recibes una solicitud fuera de lo normal, debes alertar al resto.<\/strong> Si tu jefe o compa\u00f1ero de trabajo te pide que hagas algo fuera de lo normal y de modo urgente, y adem\u00e1s que lo guardes en secreto, casi siempre es se\u00f1al de una estafa. Por lo tanto, es fundamental que verifiques la informaci\u00f3n que obtengas<\/strong> y confirmes la identidad de la otra parte.<\/strong> Lo m\u00ednimo que puedes hacer es ponerte en contacto con esa persona utilizando otro canal de comunicaci\u00f3n. Lo mejor es ir en persona, pero si no es posible, llama al n\u00famero de su oficina o de su casa que tengas en la agenda, o marca ese n\u00famero manualmente, pero no te limites a marcar el \u00faltimo n\u00famero entrante para evitar caer de nuevo en manos de estafadores. Utiliza cualquier otro canal de comunicaci\u00f3n disponible. El n\u00famero de tel\u00e9fono m\u00f3vil que te ha llamado (incluso si es el n\u00famero real de tu jefe o colega de trabajo que tienes guardado en la agenda) podr\u00eda verse vulnerada por un intercambio de SIM o un mero robo de tel\u00e9fono.<\/p>\n

    Consulta con tus compa\u00f1eros de trabajo.<\/strong> A pesar de que te pidan que \u201cmantengas todo en secreto\u201d, seg\u00fan el tipo de solicitud, no est\u00e1 de m\u00e1s que verifiques la informaci\u00f3n con tus compa\u00f1eros de trabajo. Si recibes lo que parece ser un mensaje de alguien del departamento de contabilidad, ponte en contacto con otras personas del mismo departamento.<\/p>\n

    Advierte a tus compa\u00f1eros de trabajo y a los funcionarios encargados de hacer cumplir la ley.<\/strong> Si recibiste un mensaje de este tipo, significa que los estafadores tienen como objetivo tu organizaci\u00f3n y a tus compa\u00f1eros de trabajo. Si sus trucos no funcionan contigo, lo intentar\u00e1n con el siguiente departamento. Advierte a tus compa\u00f1eros de trabajo, avisa a seguridad y denuncia el intento de estafa a la polic\u00eda.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

    \u00bfRecibiste un mensaje de tu jefe o compa\u00f1ero de trabajo en el que te pide que “soluciones un problema” de una manera inesperada? \u00a1Cuidado con los estafadores! \u00bfC\u00f3mo te proteges a ti y a tu empresa de un posible ataque?<\/p>\n","protected":false},"author":2722,"featured_media":27131,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[3145,5],"tags":[638,3796,107,1869,210,1525,31,5859],"class_list":{"0":"post-27130","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"category-tips","9":"tag-amenazas","10":"tag-bec","11":"tag-consejos","12":"tag-correo-electronico","13":"tag-fraude","14":"tag-mensajeria-instantanea","15":"tag-phishing","16":"tag-rr-hh"},"hreflang":[{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/how-to-spot-and-prevent-boss-scams\/27130\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/how-to-spot-and-prevent-boss-scams\/27235\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/how-to-spot-and-prevent-boss-scams\/22541\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/how-to-spot-and-prevent-boss-scams\/11532\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/how-to-spot-and-prevent-boss-scams\/29909\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/how-to-spot-and-prevent-boss-scams\/27407\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/how-to-spot-and-prevent-boss-scams\/29819\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/how-to-spot-and-prevent-boss-scams\/28628\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/how-to-spot-and-prevent-boss-scams\/37210\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/how-to-spot-and-prevent-boss-scams\/12183\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/how-to-spot-and-prevent-boss-scams\/50861\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/how-to-spot-and-prevent-boss-scams\/21651\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/how-to-spot-and-prevent-boss-scams\/22356\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/how-to-spot-and-prevent-boss-scams\/31043\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/how-to-spot-and-prevent-boss-scams\/36124\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/how-to-spot-and-prevent-boss-scams\/27584\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/how-to-spot-and-prevent-boss-scams\/33415\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/how-to-spot-and-prevent-boss-scams\/33042\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/latam.kaspersky.com\/blog\/tag\/fraude\/","name":"fraude"},"_links":{"self":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/27130","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/users\/2722"}],"replies":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/comments?post=27130"}],"version-history":[{"count":3,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/27130\/revisions"}],"predecessor-version":[{"id":27135,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/posts\/27130\/revisions\/27135"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media\/27131"}],"wp:attachment":[{"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/media?parent=27130"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/categories?post=27130"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/latam.kaspersky.com\/blog\/wp-json\/wp\/v2\/tags?post=27130"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}