Además del Covid-10, el universo empresarial y de instituciones usa acrónimos y anglicismos que usan los hispanoparlantes. Esa pandemia llegó para quedarse hace años a la cúpula de la Sevilla de los negocios. Uno de los ‘palabros’ adoptados es CEO. Es decir, Chairman Executive Office. Osea, el dueño y señor de la empresa o jefe del organismo.
De las estafas más extendidas, aunque silenciadas, que rapiñan millones en cuentas empresariales y organismos públicos se cometen en nombre del CEO aprovechando períodos vacacionales, temporadas altas, finales de mes o situaciones excepcionales como las que trajo la nombrada pandemia.
La ‘estafa del CEO’ es una variante del ‘phishing’. Este nuevo anglicismo consiste en suplantar la personalidad de directivos y ordenar a subordinados de departamento de gestión económica transferencias bancarias. Los ciberexpertos policiales detectaron ya dos modalidades del timo: vía ingeniería social o hackeando (pirateando) correo del directivo.
La ‘ingeniería social’
Esta variable usa vacaciones estivales o viajes del CEO lejos del despacho. Julio y, sobre todo, agosto, navidades, semana santa, puentes son ideales para cometer la fechoría. Los estafadores se organizan bien repartiéndose papeles. Uno pide hablar con del CEO sabedor de su ausencia. Sugiere tema de peso por lo que pide hablar con subordinado financiero con poderes en cuentas. Pero el interlocutor sabe que también está de vacaciones. Con argucias saca correos del CEO y subordinado. Ipso facto se clonan sendos correos, aunque con alguna variable imperceptible.
El actor, ya usurpando al CEO y subordinado ordena transferir una importante suma a un proveedor con urgencia para un pedido. Se pide en el pago máxima discreción por alguna causa comprensible: precio especial, cláusula de secretismo... Los empleados que no están de vacaciones, y se fían de los correos recibidos que aparentan ser buenos, acceden a lo que pide el ciber-delincuente. El dinero trasferido se perderá en la red.
El hackeo
La variable del ‘pirateo’ de la cuenta del directivo (CEO), perdón por usar coloquialismos en castellano, es fácil de imaginar. Además de ser plagiado sus señas corporativas se hace lo propio con subordinados. Para ello los delincuentes han hecho algo de ‘inteligencia’ previamente. Es decir, saben datos fidedignos antes de plagiar correos y usurpar identidades.
Las tentativas y consumaciones de la ‘estafa del CEO’ se cuecen en países ex soviéticos, China, sudeste asiáticos y países del petrodólar con escasos convenios de extradición, opacidad fiscal y rígido secreto bancario. La investigación de estos engaños que causan estragos en cuentas demora meses. Las autoridades españolas deben pedir comisiones rogatorias a los países donde se ubican las cuentas beneficiarias de los traspasos. Ese tiempo es suficiente para repartir el botín entre testaferros y sus mentores.
El silencio reina, el negocio no para
Hay datos que importantes proveedores de la administración, exportadores, consultoras e ingenierías en Sevilla han sufrido esta estafa. Hay opacidad total de las víctimas sobre el particular. También, un dato llamativo: se han pagado y paga por contratos, facturas e igualas en ciberseguridad, cursos de formación y auditorías para remediar estos ataques. Pero parece que esto es también un negocio. Algunas empresas han repetido el papel de víctima. Los timadores han variado sobre lo esencial su operativa.
Llegados a este punto es llamativo la concurrida liga de técnicos, expertos, y peritos que tasan o previenen del ‘timo del CEO’ y se sigue dando. Quien suscribe ha leído varios ‘forensics’. Este nuevo palabro explica informes sobre el ‘timo del CEO’ que emiten alguna de las ‘big four’ de la auditoría (Deloitte, PwC, E&Y, KPMG). Las mismas comparten también opacidad y todas tienen embajada en la capital sevillana. Ya conocimos el rol de la desaparecida Arthur Andersen (hoy Accenture) auditando a la carta
El voluminoso documento, plagado de gráficos, tecnicismos, anglicismos (aunque redactado en español), no tenía firma ni detalle de experteces de su elaborador. Pero conociendo el paño sería alguien ubicado en el sub-mileurismo, variante beca o prácticas. Es decir, en nombre de la ‘ciberseguridad plus’ y de supuesta vacuna ante el ‘Timo del CEO’ hay un negocio que cuesta mucho a su clientela, que pagaría por muchos folios.
Mientras tanto, nuestros esforzados y malpagados ciberpextos policiales del CNP y Guardia Civil no le cobran un céntimo a las empresas y víctimas individuales. Los servidores públicos colaboran desde sus pantallas y redadas en operativos impulsados por EUROPOL, INTERPOL. En Sevilla detuvieron a dos encartados de una banda el pasado octubre. Defraudó casi 12.000.000 de euros.
Tanto secretismo con el ‘Timo del CEO’ nos va explicando a qué obedece tanta opacidad. Las vergüenzas y desfalcos que se sufren desde que la irrupción digital dijo ‘aquí estoy yo’ nos ponen de cara a timos con doble cobrador. El ‘fraude del CEO’ escribirá nuevos capítulos. Esperamos que salgan a la palestra todos los que cobran sin recato de un nuevo timo que tiene demasiados mimbres clásicos.