Inicio Economía Hacienda lanza una campaña destinada a instituciones y entidades privadas para prevenir...

Hacienda lanza una campaña destinada a instituciones y entidades privadas para prevenir los delitos de «fraude al CEO»

8
0

VALÈNCIA, 2 (EUROPA PRESS)

La Conselleria de Hacienda, a través del Centro de Seguridad TIC de la Comunitat Valenciana (CSIRT-CV), ha puesto en marcha la campaña ’10 consejos para no ser víctima de un fraude al CEO’ ante «el incremento de casos detectados en los últimos meses con este tipo de delito, tanto en instituciones públicas como privadas», según ha informado en un comunicado la Generalitat. La administración autonómica ha precisado que estos delitos «tienen como objetivo el desvío de fondos con órdenes falsas que simulan proceder de un superior de la organización».

«Nuestro objetivo es concienciar a todos los empleados, especialmente a los que tienen capacidad para gestionar las cuentas y pagos, para no ser víctimas de estos engaños; evitar que se produzcan pérdidas económicas y, por supuesto, hacer conscientes a las empresas e instituciones de los peligros a los que estamos expuestos», ha señalado el director general de Tecnologías de la Información (DGTIC), José Manuel García Duarte.

El responsable de este departamento ha apuntado que «los miembros de cualquier organización deberían ser la primera barrera ante estos intentos de fraude, que son cada vez más difíciles de detectar por estar muy perfeccionados» y ha precisado que «deberían contar también con el respaldo claro de sus organizaciones, con una apuesta firme por robustecer los procedimientos y los sistemas de seguridad».

Este tipo de engaño consiste en hacer llegar un correo, remitido supuestamente por un superior de la organización, a un empleado o empleada que tenga la posibilidad de realizar transferencias o acceder a datos de cuentas, presionándole para realizar alguna operación financiera o un cambio de cuenta e indicándole que es confidencial y urgente, ha explicado la Generalitat. Puede iniciarse también solicitando información sobre facturas pendientes, mediante un correo o llamada suplantando a dicho organismo.

«Los últimos casos descubiertos estaban perfectamente organizados y los correos eran muy creíbles, dado el nivel de conocimiento de la organización que presentaban, por lo que debemos extremar las precauciones», ha señalado García Duarte.

El director general de Tecnologías de la Información (DGTIC) ha subrayado que «es importante que si un empleado recibe un mail solicitándole una transferencia urgente compruebe el dominio del remitente y se asegure de que esa dirección coincide exactamente con la cuenta de correo electrónico que corresponda, puesto que los ciberdelincuentes tienen que realizar pequeños cambios que pasan desapercibidos».

Además, ha resaltado que «ante cualquier mail exigiendo transferencias urgentes con cualquier excusa de un supuesto superior, o solicitando cambios en las cuentas de pagos, lo mejor es hacer una comprobación telefónica para hablar directamente con dicho superior, pero nunca utilizando los teléfonos que aparezcan en el email sospechoso, sino al contacto del que se disponga en la base de datos o directorio de la propia organización».

Todos los departamentos deben tener, además, protocolos de transacciones financieras claros y sólidos, y cumplirse estrictamente en todos los casos, ha expuesto la Generalitat. «Hay que sospechar de todos los mails, por muy creíbles que parezcan, que indican cambios en cuentas de proveedores o la realización de transferencias o cobros con carácter confidencial y urgente porque los ciberdelincuentes quieren dar el menor tiempo posible a la víctima para evitar ser descubiertos», ha agregado el responsable de la DGTIC.

Igualmente, ha advertido de que los atacantes suelen crear documentos falsificados que incluyen membretes oficiales e, incluso, firmas digitales falsificadas muy creíbles que hacen muy difícil su identificación.

La administración autonómica ha asegurado que es «importante también la prevención en la información que se facilita a terceros» porque «las campañas más sofisticadas de ‘fraude al CEO’ suelen venir precedidas de una fase de investigación, en la que el atacante recaba información sobre la estructura orgánica y funcional del organismo, personas de contacto, facturas, cobros, contratos o, incluso, de la propia Plataforma de Contratación del Estado o webs oficiales para conocer qué concursos públicos hay en marcha o qué información creíble pueden tergiversar».

La Generalitat ha insistido así en que «es fundamental que la empresa disponga de procedimientos robustos de validación para ciertas operaciones, como la exigencia de la firma digital o el establecimiento de doble firma para operar con importes que superen ciertas cantidades ya que siempre resultarán más difícil que fructifique un engaño a dos personas que solo a una».

Del mismo modo, ha incidido en que «siempre hay que desconfiar de los correos electrónicos cuyo texto esté mal redactado o con faltas de ortografía; evitar pulsar cualquier enlace presente en mails desconocidos, abrir documentos de procedencia incierta y, por supuesto, evitar enviar credenciales de acceso mediante correo electrónico a nadie, aunque sea de confianza».

SINTAXIS EN LOS ENLACES

Los expertos recomiendan además fijarse es en la sintaxis de los enlaces a páginas web que lleguen por correo electrónico «ya que una letra puede marcar la diferencia» y explican que no se deben introducir datos personales en páginas web cuyo enlace se haya acortado como bit.ly, cort.as.

«Hay que permanecer siempre alerta, especialmente a las propuestas de cambio de cuentas bancarias, peticiones de información sobre facturas pendientes, así como a solicitudes de cambio de contactos, de cuantías de servicios contratados, cambios de resultados en procesos de adjudicación o a solicitudes de transferencias urgentes por encontrarse el responsable habitual fuera de la oficina», ha reiterado el director general.

García Duarte ha afirmado que ante la primera señal de mails sospechosos «es fundamental la notificación temprana, así como guardar un registro de todos los correos enviados y recibidos por si se requieren para investigaciones posteriores, así como interponer la denuncia».