Si hablamos de fraude por ingeniería social es inevitable no traer a colación el caso más mediático que hemos tenido en España, el caso conocido como Pequeño Nicolás.
El Pequeño Nicolás es un chico que desde su adolescencia intimó con miembros de un partido político y aprendió sus costumbres y maneras hasta ser capaz de llevar a cabo actuaciones que tacharíamos de corrupción si no fuese porque el corruptor era justamente la víctima, ya que el Pequeño Nicolás carecía de autoridad real para llevar a cabo ninguno de los cometidos que prometía. Sin embargo, mantuvo engañado a todo un partido, así como otras autoridades e instituciones, incluidos los cuerpos policiales y la Casa Real. El estafador vivía de gestionar favores ficticios o reales, dentro de una organización política de la que ni siquiera formaba parte oficialmente.
Los fraudes por ingeniería social se extienden y, lejos de afectar solo a un partido político, o a los mismos cuerpos policiales, son muchas las empresas que han sido víctimas sufriendo como consecuencia, un quebranto económico importante. A continuación, vamos a exponer tres ejemplos habituales de estafa a empresas en nuestro país:
Situación 1. Fake President o suplantación de identidad del Directivo.
Hay distintas variantes, una de ellas es el caso en el que los criminales atacan la sociedad subsidiaria destacada en un país distinto al de la matriz, y sirviéndose de mails y llamadas telefónicas simulan ser un alto directivo. Con esto logran que personal de la filial con autorización para gestionar cuentas bancarias les transfieran dinero de cuentas de la empresa a cuentas controladas por ellos. Los criminales tan solo simulan ser un directivo de la matriz dando órdenes, pero su voz al teléfono, o su tono en los mails, inspiran autoridad, y son capaces de crear un escenario en el que su pretexto no levanta la más mínima sospecha.
¿Por qué empleados cualificados llegan a picar el anzuelo? La respuesta es fácil: (i) todo el mundo suele ser propenso a ayudar o colaborar, (ii) todos solemos ser bastante confiados de entrada y, además, (iii) nos cuesta bastante decir que no. En caso de duda o resistencia, el criminal cuenta con una baza más: a todos nos gusta que nos alaben.
Situación 2. ¿El cliente siempre tiene la razón? Suplantación de identidad de un cliente.
Esta vez se trata de alguien que no pretende robar dinero si no información y para ello suplanta la identidad de uno o varios clientes. La primera petición dirigida al empleado es amable, pero cómo éste no puede validar la autenticidad de quien está requiriendo tal información, declina dársela.
A partir de ese momento, el criminal entrará en una espiral de mails y/o llamadas con las que seguirá insistiendo y elevando el tono. Su discurso será cada vez más persuasivo, incluso amenazante (elevar una queja, denunciar su situación en los medios de comunicación, etc). Tal insistencia hará creer al empleado que, aun no pudiendo corroborar la identidad, el cliente es quien afirma serlo, pues en caso contrario, habría dejado de insistir.
En ese momento, el empleado caerá en el mantra el cliente siempre tiene razón y zanjará el problema simplemente cediendo ante la insistencia del estafador. Esto ocurre porque el número de casos en los que el cliente miente es muy bajo y, el coste de un problema no resuelto por ajustarse a la normativa puede ser peor para una empresa, que la metedura de pata en caso de que el cliente esté mintiendo.
Situación 3. Phishing.
Durante 2015 y 2016 muchas empresas fueron víctimas de un caso de phishing en el que una organización enviaba correos electrónicos a cuentas de España simulando ser una importante compañía de mensajería y correos. En el email se informaba de que había un paquete o carta pendiente de entrega y había que comprobar una documentación adjunta para reclamar dicha entrega. El software que realmente ejecutaban las víctimas era un ransomware que cifraba todos sus archivos y pedía un rescate por recuperarlos.
En este caso entra en juego la curiosidad, dado que sin esperar ningún paquete o carta, muchos ejecutaron el link al documento adjunto abriendo así la puerta de la empresa al “criptolocker”.
Nueva premisa.
Las empresas trabajan ya bajo la premisa de que, en la cadena de seguridad de la información, el empleado es el eslabón más débil. A partir de aquí, no queda otra solución que EDUCAR, llevar a cabo planes de capacitación que hagan a los empleados más prudentes y cautelosos para proteger adecuadamente los principales activos de la sociedad: la información y el dinero.
Por otro lado, desde el sector asegurador, se ofrecen soluciones aseguradoras para proteger las pérdidas económicas derivadas de un fraude por ingeniería social. En este caso, este tipo de pólizas son una herramienta con la que mitigar el riesgo, dado que el objetivo de la cobertura es indemnizar a la sociedad del quebranto económico sufrido.
