La Policía investiga 102 estafas a empresas españolas por el millonario 'fraude del CEO'
Se trata de un método de estafa cibernética que, según el FBI, provoca pérdidas por valor de 2.300 millones de dólares anuales a compañías de todo el mundo
Imagen de archivo. | Hannah Wei | Unsplash
La Policía Nacional tiene abiertas un total de 102 investigaciones por el conocido como fraude del CEO a empresas privadas y públicas en España. Se trata de un método de estafa cibernética transnacional que, según datos del FBI, provoca pérdidas por importe de unos 2.300 millones de dólares anuales a compañías de todo el mundo. Un fraude que también está creciendo de forma constante en nuestro país desde el estallido de la pandemia y que afecta tanto a empresas privadas como públicas, de acuerdo con fuentes policiales consultadas por THE OBJECTIVE.
«La actividad delictiva que más está subiendo, y que supone ya un 15% de todos los delitos que se cometen en España, es la ciberdelincuencia en general. El 87% de estos últimos se corresponden con fraude y durante el último año, en lo que llevamos de 2022, hemos detectado un total de 102 investigaciones abiertas relacionadas con fraudes al CEO», explica Diego Alejandro, inspector jefe de la Sección de Fraude en el Comercio Electrónico de la Unidad Central de Ciberdelincuencia de la Policía Nacional.
Ingeniería social al servicio de ladrones de guante blanco, que se hacen pasar por altos cargos de empresas o proveedores externos para engañar a trabajadores de los departamentos de administración de una compañía. Mediante técnicas cada vez más sofisticadas, les convencen para que transfieran dinero a otras empresas por operaciones que en realidad son una farsa. Se trata de una estafa que suele estar orquestada por personas de diferentes países. Tienen cuentas bancarias y correos electrónicos en lugares distintos del mundo para poder hacer desaparecer el dinero, de forma casi inmediata, una vez que se ha conseguido engañar al empleado o directivo que autoriza las transferencias.
¿Qué es el fraude del CEO?
«El fraude del CEO lo que busca es obtener un gran beneficio en muy poco tiempo, con muy pocos contactos con la víctima, que suelen ser personas de grandes empresas que tienen capacidades para hacer transferencias o hacer los pagos por los servicios que se prestan», indica Diego Alejandro. «Por eso el fraude del CEO también se conoce como whaling, porque intentan pescar a peces gordos de empresas para cometer la estafa», añade el inspector jefe de la Sección de Fraude en el Comercio Electrónico.
La estafa se inicia a través de técnicas de ingeniería social o software malicioso para obtener información de los directivos a los que se pretende suplantar o engañar, como el phising, el vishing o el smishing. En otras ocasiones, se basa en simples búsquedas en fuentes abiertas, como las redes sociales, para obtener información de los directivos a los que se pretende suplantar o engañar. Y en otros casos, incluso, se realizan seguimientos y contrainteligencia para obtener toda la información necesaria para llevar a cabo la estafa en el momento más oportuno.
«Uno de los principales métodos usados es el que se conoce como man in the middle. Los delincuentes logran acceder a los servicios informáticos o contraseñas bancarias de una empresa haciéndose pasar por directivos de otras firmas a las que compran o venden servicios. Suplantan su identidad mediante correos electrónicos que parecen corporativos y reales, o incluso por whatsapp, para ordenar transferencias por el pago de facturas a otras compañías», señala inspector jefe de la Sección de Fraude en el Comercio Electrónico de la Unidad Central de Ciberdelincuencia de la Policía Nacional.
Empresas privadas y públicas
Precisamente esta técnica es la que aparentemente fue utilizada en el fraude del CEO por el que la EMT de Valencia transfirió 4 millones de euros a cuentas de Hong Kong en 2019. Dinero público que aún no ha podido ser recuperado. La investigación penal que lleva a cabo el Juzgado de Instrucción número 18 de Valencia cumple tres años en vía muerta, pese a solicitar pistas a China, EEUU, Israel, Kenia e Irlanda.
Otro de los fraudes del CEO más sonados en España afectó a la farmacéutica gallega Zendal. En plena fabricación y comercialización de la vacuna contra la covid-19, en diciembre de 2020, sufrió una estafa de 9 millones de euros mediante esta técnica. Pero los casos son muchos más, aunque en la mayoría de las ocasiones no han saltado a la luz pública. Uno de ellos lo sufrió una conocida aerolínea española que perdió 4,5 millones con un fraude del CEO, que finalmente pudieron ser recuperados gracias a la rápida respuesta de la empresa y la Policía Nacional.
«En esa investigación fue fundamental que la empresa diera el aviso en menos de dos horas. Eso nos permitió bloquear los servidores en cascada e interceptar el dinero cuando aún estaba en Australia, a punto de ser enviado a cuentas bancarias de Singapur donde habríamos perdido el rastro de los fondos», indica el comisario Pedro Agudo, jefe de la Unidad adscrita de Policía Judicial que permitió abortar esa estafa del CEO a la aerolínea y dar con sus responsables.
Prevención y detección rápida
«La investigación permitió confirmar que los estafadores habían realizado vigilancias y seguimientos de los empleados, a los que luego engañaron mediante la utilización de un correo falso, haciéndose pasar por un proveedor habitual de la compañía. Llevaban tres transferencias, y habrían podido ser más si desde la compañía no hubiesen dado aviso menos de dos horas después de la primera transacción», añade Agudo.
Diego Alejandro, inspector jefe de la Sección de Fraude en el Comercio Electrónico de la Unidad Central de Ciberdelincuencia de la Policía Nacional, coincide en que la celeridad con la que se denuncie la estafa es clave para dar con las personas responsables. «Lo más difícil es determinar quién realiza el ataque y desde dónde. Suelen formar parte de organizaciones transnacionales que utilizan VPNs, proxys y NATs de cualquier otro país para ocultar su ubicación real. Pueden estar en Francia, Singapur, Brasil o EEUU. Por eso la pronta detección de la estafa y una rápida comunicación son claves», indica Alejandro.
El pasado 5 de diciembre, la Policía Nacional anunció la desarticulación de una organización criminal especializada en el fraude del CEO y la detención e sus 15 integrantes. La investigación comenzó cuando fueron detectadas numerosas transferencias nacionales e internacionales a países como Alemania, Chile, Estonia, Francia, Hong Kong, Jamaica, Pakistán, Rusia, Suecia y Taiwán. Todas ellas de origen fraudulento y por importe de 850.000 euros, realizadas a través de un entramado empresarial dedicado a la recepción y posterior blanqueo del dinero que recibían.
«Todos los días intercambiamos comunicaciones con policías de terceros países. Si el aviso se da tarde, cuando llegamos a tener conocimiento, el dinero ya se ha esfumado y nos podemos tirar dos o tres años investigando los hechos», añade el inspector Diego Alejandro. En su opinión, la cooperación policial con otros países y la prevención y formación de los empleados de las empresas frente a este tipo de delitos es fundamental.
Recomendaciones de la Policía
En el caso de la EMT de Valencia se realizaron cuatro transferencias distintas por importe de cuatro millones de euros, entre el 3 y el 20 de septiembre de 2019, a dos cuentas bancarias en Hong Kong por una operación para comprar autobuses en China que resultó ser ficticia. Se tardaron casi veinte días en dar aviso a la Policía y el dinero aún no ha podido ser recuperado. En la causa figura únicamente como imputada la extrabajadora pública Celia Zafra.
En una reciente entrevista en este medio, la exempleada explicó cómo unos estafadores la engañaron mediante llamadas telefónicas y correos electrónicos en los que se hacían pasar por abogados de una conocida consultora y por el propio presidente de la EMT y concejal de Transportes del Ayuntamiento de Valencia, Giuseppe Grezzi. «A mí no me formaron para detectar ningún tipo de fraude; si me hubieran formado, nadie se hubiera llevado todo ese dinero de la EMT», asegura Zafra.
Tanto la Policía Nacional como el Instituto Nacional de Ciberseguridad de España (INCIBE) recomiendan a las empresas que sensibilicen y formen a sus directivos en materia de ciberseguridad para prevenir estafas como el fraude del CEO. «La prevención es fundamental. Desde la Policía Nacional recomendamos siempre que, ante la más mínima sospecha de estar ante un intento de fraude, se hagan comprobaciones con las fuentes directas», señala Diego Alejandro, inspector jefe de la Sección de Fraude en el Comercio Electrónico de la Unidad Central de Ciberdelincuencia de la Policía Nacional.
«Si la persona que nos da la orden de que se realice una operación, hay que fijarse muy bien si el dominio del correo electrónico no contiene alguna letra distinta a la del dominio del proveedor o si el número de teléfono coincide. Y si se trata de una operación fuera de lo común o una transferencia a un destino inusual, lo mejor es llamar a la persona que parece dar la orden para confirmar si es real», concluye.
