Artículo de blog

  • 8 minutos leídos
Perfil del/a autor/a
  • Kiara Saloojee
  • DMARC Enthusiast

Prevención del fraude por suplantación de identidad del director general: detectar y detener el fraude contra altos directivos

Sobre de correo electrónico de Orange Digital en la pantalla de un ordenador portátil

Resumen sobre la prevención de correos electrónicos fraudulentos que suplantan la identidad del director general: 

  • La suplantación de identidad del director general no se basa en el malware, sino que se aprovecha de la confianza, la autoridad y la urgencia. 
  • Los atacantes utilizan tres métodos: suplantación de dominios, dominios similares y credenciales robadas. 
  • La rapidez es fundamental: si reporte transacción fraudulenta en un plazo de 72 horas, hay más posibilidades de recuperar el dinero. 

La suplantación de identidad del director general es un tipo de ataque BEC en el que los ciberdelincuentes se hacen pasar por un director general para manipular a los empleados y que estos autoricen transferencias bancarias fraudulentas, desvíen nóminas, concedan acceso a sistemas sensibles o compartan credenciales confidenciales. 

Funciona porque no se basa en malware ni en enlaces maliciosos. Se aprovecha de la autoridad, la urgencia y la confianza. Un correo electrónico que parece proceder del director general de la empresa y que contiene instrucciones urgentes logra sortear el escepticismo con el que la mayoría de los empleados reciben los mensajes no solicitados. Para cuando se descubre el engaño, el daño ya está hecho. 

Este artículo aborda las tácticas que se esconden tras los ataques de suplantación de identidad del director general, cómo detectarlos, cómo actuar cuando se produce un incidente y, lo más importante, cómo prevenirlos. Esto incluye los controles técnicos que impiden el envío de correos electrónicos falsos. 

Descubre cómo Sendmarc ayuda a tu organización a crear una defensa completa contra la suplantación de identidad del director general. 

Reserva una demo

El coste del fraude cometido por los directores generales y por qué su prevención es una prioridad

Los ataques de tipo BEC provocaron pérdidas declaradas por valor de 2.770 millones de dólares en 2024.

Las pérdidas económicas son solo del problema: un ataque exitoso también provoca daños a la reputación, interrupciones operativas y un mayor escrutinio regulatorio.

Cuando se produce un acceso no autorizado o una filtración de datos personales, se aplican obligaciones adicionales. El RGPD exige notificar a la autoridad de control competente en un plazo de 72 horas desde que se tenga conocimiento de una violación que cumpla los requisitos. Las normas PCI DSS y POPIA imponen sus propios requisitos de notificación y corrección.

Cómo funcionan los ataques de suplantación de identidad del director general

La suplantación de identidad de directores generales sigue un patrón constante. Los atacantes comienzan con una fase de investigación: los perfiles de LinkedIn, los sitios web de las empresas, los comunicados de prensa y las conferencias sobre resultados les proporcionan toda la información necesaria para comprender la jerarquía de la organización, identificar las relaciones clave y elaborar una suplantación convincente. El objetivo es identificar al destinatario adecuado: normalmente, alguien del departamento financiero o de recursos humanos que tenga la autoridad o el acceso necesarios para dar curso a una solicitud.

A partir de ahí, los ciberdelincuentes eligen su táctica y lanzan el ataque. Por lo general, el mensaje presenta la solicitud como algo urgente, confidencial o relacionado con un acuerdo o una situación que el destinatario no puede verificar fácilmente.

Los atacantes utilizan tres métodos principales:

  1. Suplantación de dominio: el atacante falsifica el campo «De» en los encabezados del correo electrónico para que aparezca una dirección de remitente que parezca legítima.
  2. Dominios similares: el atacante registra un dominio que se parece al auténtico; por ejemplo, «dornain.com» en lugar de «domain.com». Los correos electrónicos enviados desde este dominio pueden resultar difíciles de distinguir a simple vista.
  3. Credenciales robadas: el atacante se hace con credenciales de inicio de sesión sustraídas y accede a una cuenta real de un ejecutivo. Esto se conoce como «compromiso de la cuenta de correo electrónico» (EAC). Dado que el correo electrónico procede de una cuenta legítima, supera los controles de autenticación habituales, lo que hace que este ataque sea especialmente difícil de detectar.

Señales de alerta: cómo identificar un correo electrónico que suplantaba la identidad del director general

Para detectar un correo electrónico que suplantaba la identidad del director general, hay que comprobar tanto los datos del remitente como el contenido. Presta atención a lo siguiente:

  • El nombre que aparece en el remitente coincide con el de un ejecutivo conocido, pero la dirección de correo electrónico no
  • El dominio contiene sustituciones sutiles, guiones de más o palabras adicionales
  • La solicitud implica una transferencia bancaria, tarjetas regalo, el desvío de la nómina o el uso compartido de credenciales
  • El mensaje insta al destinatario a actuar con rapidez y a eludir los procesos de aprobación habituales
  • El ejecutivo alega que no está disponible o que se encuentra de viaje, lo que dificulta la verificación directa

Los empleados deben verificar cualquier solicitud inusual a través de un canal de comunicación independiente y conocido, como una llamada telefónica directa a un número que ya figure en nuestros registros o una confirmación en persona. Responder al correo electrónico no es un método de verificación, ya que un atacante podría controlar ese hilo de conversación.

Para los equipos de TI que investigan un posible incidente, los encabezados de los correos electrónicos constituyen la prueba más fiable. Los encabezados revelan la verdadera dirección IP del remitente.

Cómo actuar ante un caso de suplantación de identidad del director general

La rapidez y el orden son importantes. Sigue estas instrucciones:

  1. Avisa inmediatamente a tu equipo de seguridad. Informa al departamento de TI o al SOC antes de tomar cualquier otra medida. No respondas al correo electrónico. Guárdalo como prueba.
  2. Póngase en contacto con su banco. Si se ha iniciado una transacción fraudulenta, llame directamente a la línea de atención contra el fraude del banco utilizando un número conocido. Solicite la anulación inmediata de la transferencia. Si lo comunica en un plazo de 72 horas, tendrá más posibilidades de recuperar el dinero.
  3. Denúncielo a las fuerzas del orden. Presente una denuncia ante la autoridad nacional competente; en Estados Unidos, se trata del Centro de Denuncias de Delitos en Internet (IC3) del FBI.
  4. Notifique a las personas cuya identidad haya sido suplantada. Avise al directivo cuya identidad se haya utilizado. Es posible que este tenga que enviar notificaciones a otros contactos que hayan recibido mensajes similares.
  5. Comprueba si la cuenta ha sido comprometida. Si el correo electrónico parecía proceder de una cuenta interna real, revisa inmediatamente el historial de inicio de sesión, las sesiones activas y las reglas de reenvío. Es posible que la cuenta comprometida siga bajo el control del atacante.

Prevención del suplantación de identidad del director general en el correo electrónico: controles técnicos y de procesos

Una prevención eficaz requiere controles tanto a nivel de infraestructura como de procesos.

Controles técnicos

  • Aplicar una política de p=reject. A p=reject indica a los servidores receptores que bloqueen los correos electrónicos que no superen la autenticación. Esta es la defensa técnica más directa contra la suplantación de dominio. Una p=none genera informes, pero no ofrece protección: los correos electrónicos que no superan la autenticación siguen llegando a la bandeja de entrada.
  • Esté atento a los dominios similares. DMARC solo contra la suplantación de dominios exactos. No tiene ningún efecto sobre los dominios registrados para imitar el suyo. La supervisión continua de los dominios similares recién registrados es un control independiente y necesario.
  • Implemente una solución de detección de filtraciones. Si las credenciales de un directivo quedan expuestas en una filtración de datos de un tercero, los atacantes pueden utilizarlas para acceder a cuentas reales y enviar correos electrónicos suplantando la identidad, eludiendo por completo el proceso de autenticación. Utilice una solución de detección de filtraciones para supervisar de forma continua si las credenciales de los empleados han sido comprometidas.

Controles de procesos y políticas

  • Implemente un proceso de aprobación por parte de varias personas para todas las transferencias bancarias, los cambios en las nóminas y las actualizaciones de los pagos a proveedores, independientemente de quién los solicite. Una simple instrucción por correo electrónico —ni siquiera si procede de una cuenta ejecutiva verificada— nunca debería constituir una autorización suficiente para una transacción financiera.
  • Establezca un protocolo de verificación verbal para cualquier orden financiera iniciada por correo electrónico. Utilice un número de teléfono que ya figure en nuestros registros, no el facilitado en el correo electrónico.
  • Formar a los equipos de mayor riesgo. Los departamentos de Finanzas, Recursos Humanos y el personal de apoyo a la dirección son los que suelen ser objeto de estos ataques con mayor frecuencia. Los empleados deben saber reconocer los indicios característicos del fraude del director general y seguir los procedimientos de escalamiento sin temor a parecer poco cooperativos con un alto cargo.
  • Realice periódicamente simulacros que reproduzcan situaciones en las que alguien se haga pasar por el director general. Una respuesta ensayada reduce las dudas cuando se produce un incidente real.

Detén el suplantación de identidad del director general antes de que llegue a la bandeja de entrada

No existe una única medida de control que impida la suplantación de identidad del director general. Cada método de ataque requiere su propia defensa. A DMARC con p=reject evita la suplantación de dominio exacta. Lookalike Domain Defense detecta los dominios recién registrados diseñados para suplantar a su organización. Breach Detection identifica las credenciales de ejecutivos expuestas antes de que los atacantes puedan aprovecharlas.

Descubre cómo Sendmarc te ayuda a llegar a p=reject, detectar dominios similares que se dirigen a tu marca e identificar a tiempo las credenciales de los ejecutivos que están expuestas.

Reserva una demo