El análisis forense en la gestión del fraude del CEO
El denominado fraude del CEO es una de las estafas más recurrentes y ya ha provocado pérdidas millonarias a empresas de diferentes sectores.
Alpine Security, compañía especializada en la detección proactiva de amenazas de ciberseguridad, destaca la importancia de llevar a cabo un análisis forense para la correcta gestión de este tipo de fraudes.
"El denominador común en estos casos es la detección tardía. Las empresas víctimas del fraude no son conscientes de este hasta que se evidencia un problema en sus cuentas", contextualiza David Julián, CEO de Alpine Segurity. La compañía lo ilustra con un caso real: un cliente que fue objeto de un ataque en el que se puso en peligro una transacción comercial de varios millones de euros. En el caso que se pone como ejemplo verídico, el incidente comenzó cuando el CEO de la organización sospechó que su cuenta de correo estaba comprometida tras recibir un mail que alertaba sobre problemas con unas transacciones financieras recientes. Inmediatamente, Alpine Security inició una investigación forense para determinar el alcance del compromiso.
Respuesta Inmediata: Las '3 C'
La respuesta de Alpine Security se basó en la regla de las '3 C': Contención, Contundencia y Control. Se tomaron medidas inmediatas para contener el incidente, como la paralización de transacciones y el bloqueo de cuentas comprometidas. Además, se aislaron los sistemas afectados y se recopilaron registros de comunicaciones internas y correos electrónicos. "En este tipo de situaciones, actuar con contundencia y de forma organizada puede marcar la diferencia entre un incidente y una crisis. Además, esta respuesta inmediata es crucial para preservar las evidencias vitales que respaldan las investigaciones", subraya Julián.
Líneas investigativas
Durante la investigación forense, se identificaron discrepancias en las comunicaciones por correo electrónico, lo que indicaba una posible suplantación de identidad. Se descubrió que los atacantes habían comprometido el correo electrónico del cliente final y habían modificado sutilmente los correos electrónicos para redirigir fondos a una cuenta fraudulenta.
El atacante, quien había comprometido el acceso a las cuentas de correo del cliente final, demostró una paciencia calculada mientras monitoreaba las comunicaciones comerciales. Cuando se presentó la oportunidad, intervino un correo electrónico legítimo enviado por el cliente de Alpine Security, eliminando la factura original y sustituyéndola por una versión falsificada meticulosamente elaborada. Este correo alterado contenía cambios cruciales, incluida la modificación del número de cuenta bancaria en el documento PDF adjunto y la inserción de instrucciones explícitas para realizar el pago en una cuenta bancaria fraudulenta.
Descubrimiento del Fraude
Una vez que el atacante logró controlar el flujo de correos electrónicos entre el cliente y el equipo de pagos del destinatario, actuó como intermediario, evitando levantar sospechas y facilitando la consolidación del fraude. "En esta situación, la eficacia del pago fraudulento se atribuyó, en parte, a que el pagador no intentó verificar las instrucciones de pago mediante otros métodos, como una llamada telefónica, confiando exclusivamente en los correos electrónicos", señala Julián.
El fraude fue descubierto cuando el cliente de Alpine Security, al notar el retraso injustificado en el pago y la falta de información, decidió comunicarse, esta vez sí, telefónicamente, con el pagador de la factura. Para su sorpresa, le confirmaron haber realizado el pago siguiendo las "nuevas indicaciones". Fue en este punto cuando el cliente contactó a Alpine Security para llevar a cabo una investigación detallada.
Un análisis forense exhaustivo de los equipos afectados y de las actividades de acceso y comunicaciones por correo electrónico del cliente, comparados con los correos electrónicos recibidos por su cliente final, proporcionaron pruebas sólidas del fraude. Este proceso investigativo permitió al cliente de Alpine Security demostrar de manera concluyente que era una víctima inocente del fraude, no su origen. Gracias a esta certificación, pudo garantizar la continuidad del proceso de cobro de su transacción mercantil.
"Este caso subraya la importancia crítica del análisis forense en la gestión de este tipo de fraudes. Gracias a una respuesta rápida, una investigación rigurosa y a la preservación adecuada de las evidencias pudimos demostrar que el origen del compromiso estaba en la parte contraria. Esto ahorró a nuestro cliente unas pérdidas pre-asumidas que ascendían a millones de euros", destaca el CEO de Alpine Security. "Los fraudes son comunes; una investigación forense ante ellos, no tanto. Y precisamente esta investigación es la que puede marcar la diferencia para prevenir pérdidas tanto económicas como reputacionales que, en casos extremos, podrían incluso llevar al cierre de la organización", concluye Julián.
David Julián de Alpine Security