CISET. Centro de Innovación
  • Inicio
  • Servicios Informáticos
      • Mantenimiento Informático
      • Backup
      • Formación Tecnológica
      • Servicios Informáticos
  • Soluciones
      • Catálogo de Soluciones TI
      • Venta Informatica - SW y HW
      • Renting tecnológico e informático
      • Software ERP
      • Software RRHH
      • Inventario de Activos TI
  • Cloud
      • Catálogo de servicios cloud
      • Microsoft 365
      • Acronis Cyber Protect Cloud
      • Google Apps
      • Centralita virtual
  • Ciberseguridad
      • Seguridad Informática
      • Antivirus y Antispam
  • Soporte
  • ¿Quíenes somos?
  • Contacto

Fraude al CEO: la ciberestafa que afecta cada vez a más empresas

Última actualización: 28 Febrero 2023

El ‘fraude del CEO’ puede afectar a cualquier tipo de compañía, desde pequeños negocios familiares a grandes multinacionales, por ello es importante entender cómo funciona para protegerse de él.

El denominado "Fraude al CEO" es un tipo de estafa realizada a través de correo electrónico en el que se suplanta a un directivo de una entidad para solicitar a un empleado del departamento financiero que realice una transferencia confidencial y urgente.

Se trata de una estafa que tiene como objetivo engañar a empleados para que paguen una factura o realicen una transferencia desde la cuenta de la empresa a una cuenta del cibercriminal. Consiste en que un empleado de alto rango, o el contable de la empresa, con capacidad para hacer transferencias o acceso a datos de cuentas, recibe un correo en el que se pide ayuda para una operación financiera confidencial y urgente.

¿Cómo ocurren estos fraudes?

Los estafadores, antes de realizar cualquier paso o actuación, suelen encargarse de recopilar toda la información posible por adelantado para conocer bien cómo funciona la empresa y que sus mensajes resulten creíbles.

En casos más sofisticados pueden incluso previamente haber espiado, mediante un malware espía, los correos electrónicos para imitar el estilo de escritura del jefe. También han podido previamente robar las credenciales de acceso del jefe a su cuenta de correo para enviar el correo desde esta misma cuenta.

Una vez que disponen de la informacion suficiente que necesitan para iniciar la estafa, las formas más habituales en que la que operan los ciberdelincuentes, son mediante el envío de un mail:

-Contactan haciéndose pasar por un directivo para una compra u operación comercial urgente, donde se requiere rapidez y discreción. En muchas ocasiones aprovechan que el CEO está de viaje o saben que no va a contestar al teléfono durante un tiempo.

-Contactan haciéndose pasar por un proveedor que de forma urgente requiere cambiar la cuenta corriente para el próximo.

¿Cómo lo hacen?

  1. Un estafador llama o envía correos electrónicos haciéndose pasar por un alto cargo de la compañía (p. ej. el Director General).
  2. Siempre van a conocer bien cómo funciona la organización.
  3. Solicita que se haga un pago urgente.
  4. El empleado transfiere los fondos a una cuenta controlada por el estafador.
  5. Las instrucciones sobre cómo proceder puede darlas posteriormente una tercera persona o por correo electrónico.
  6. Hace referencia a una situación delicada (p. ej. una inspección fiscal, una fusión o una adquisición).
  7. Solicita al empleado que no siga los procedimientos de autorización habituales.

El objetivo final siempre es engañar a la víctima para que realice una o varias transferencias de altas cuantías a la cuenta del criminal, pensando éste que está llevando a cabo una operación lícita.

En estos casos los cibercriminales demuestran un profundo conocimiento de la compañía, proveedores y sus empleados. 

¿Cómo podemos prevenirlo?

  1. Si tienes sospechas sobre la veracidad de la identidad de quién te solicita la operación, contacta con éste por otro medio diferente al que él ha utilizado. Si te han remitido un email llama a esa persona o compañía directamente por teléfono. Si se trata de un proveedor desde un número no habitual, llama a su número conocido.
  2. Fijarse bien en las peticiones de transferencias a cuentas extranjeras, si no es lo habitual para la empresa.
  3. Si recibes un mensaje en el que te piden información confidencial o realizar alguna operación bancaria de forma urgente, asegúrate antes de facilitar cualquier dato
  4. Revisa los mensajes que recibes y comprueba si hay señales de phishing. Aprende cómo identificar un correo de estas características.
  5. Implantar procedimientos seguros para realizar pagos, que exijan doble verificación
  6. Mantén tu sistema operativo y las aplicaciones siempre actualizadas.
  7. instalar y configurar filtros antispam y un buen antivirus; mantenerlo al día, actualizando el software y las firmas de malware;
  8. Implantar protocolos internos para los pagos
  9. Revisar siempre las direcciones de correo cuando manejes información delicada o hagas transferencias.
  10. No abras nunca enlaces o adjuntos sospechosos recibidos por correo. Ten especial cuidado al consultar tu correo personal en los ordenadores de la empresa.

¿Cómo debo actuar si he sido víctima de este fraude?

El Ministerio de Interior recomienda:

  • Anotar los correos y teléfonos desde los que han recibido la comunicación.
  • Apuntar las cuentas en las que se ha realizado el ingreso y recopila toda la información que pueda ser relevante y permita el rastreo de los atacantes.
  • Denunciar los hechos.

Un segundo paso, podría ser sensibilizar y concienciar a tus empleados sobre diferentes técnicas de protección y buenas prácticas de seguridad de la información, así como implantar procedimientos seguros para realizar los pagos que requieran de una doble verificación.

Artículos relacionados

  • Funciones del buscador de Google
  • Netskope líder en el Cuadrante Mágico™ de Gartner® para SSE
  • ¿Cómo protegerte de los 6 ciberataques más peligrosos de este 2023?
  • Ciberseguridad, cada vez un aspecto más importante
  • Hardening
  • Definición Ransomware
  • RANSOMWARE - empieza a atacar con los mensajes de voz
  • Campaña de seguridad informática en PYMES
  • 31 de marzo - Día mundial de las copias de seguridad
  • LexNET será compatible con más navegadores
  • Precauciones a tener en cuenta en la venta o reutilización de dispositivos
  • ¿Qué significa el concepto Smishing?
  • Nueva directiva de ciberseguridad para los dispositivos inalámbricos
  • Buenas prácticas para prevenir el Ransomware
  • BitLocker ¿Qué es? ¿Por qué debemos utilizarlo?
  • DNS - Domain Name System
  • ¿Qué es una web responsive?
  • Seguridad en operaciones y compras online
  • Ransomware. El virus que secuestra tu organización
  • Virus Informático en Correos Electrónicos

Publicaciones destacadas

Novedades Windows 11: IA, seguridad y funciones clave

Windows 11 esta disponible desde el 5 de octubre mediante una actualización gratuita. Entre sus novedades destacan la integración de Teams en la barra de tareas o su nueva Microsoft Store.

¿Qué ocurre si decides no actualizar a Windows 11?

Ahora, con el fin del soporte para Windows 10 programado para el 14 de octubre de 2025, la decisión de actualizar o no se vuelve más relevante que nunca. En este artículo exploraremos por qué deberías plantearte dar el salto a Windows 11, qué ventajas ofrece, cuáles son los posibles inconvenientes y cómo puedes prepararte para una transición sin sorpresas.

Lanzamiento de My Sage, la nueva plataforma de Sage

Sage, líder en soluciones de gestión empresarial, lanzará próximamente My Sage, su nueva plataforma digital para clientes.
Ofertas y promociones
  • Microsoft 365
  • Firewalls
  • Sistemas Backup Online
Hoy hablamos de:
  • Centralita virtual
  • Netskope
  • Asesorías de empresas
Localización y contacto
CISET. Centro de Innovación
Calle Margarita Salas 16, 28919
Leganés, Madrid - ESPAÑA
Parque Tecnológico LEGATEC
Microsoft Partner
CISET empresa registrada en el catálogo de soluciones de ciberseguridad de INCIBE
CISET. Centro de Innovación © 2025. Todos los derechos reservados | Inicio | Aviso legal | política de privacidad | política de cookies