De un tiempo a esta parte está
irrumpiendo con preocupante fuerza una nueva práctica delictiva, el “fraude al CEO -al Director Ejecutivo-”, consistente
en suplantar la identidad de una persona de dentro o fuera de la compañía (en
especial, su director ejecutivo o “CEO , pero también cualquier otro
profesional en el marco de la vida de la empresa: proveedores, asesores,
intermediarios, contables, auditores, etc.) para ordenar o solicitar al
empleado de turno pagos de cantidades generalmente elevadas de dinero, sin que
ello suscite aparentemente ninguna sospecha.
Esta actividad delictiva se inicia
con un seguimiento de la persona a suplantar, con el fin de averiguar sus
rasgos personales y profesionales que le caracterizan -incluso la forma de
expresarse en las redes-. (A destacar el seguimiento “electrónico”, mediante
prácticas típicas de hacker).
Una vez “asumido el personaje”, el
suplantador ordena o solicita al empleado pertinente de la compañía la realización
de transferencias bancarias en un
contexto lo más verosímil posible- usando incluso direcciones electrónicas prácticamente
idénticas a la del suplantado- y en condiciones de supuesta urgencia, a fin de
provocar una respuesta rápida y sin comprobaciones por parte de quien realiza
la transferencia.
Como puede deducirse, esta forma de
delito es especialmente idónea para ser cometida en entornos electrónicos (en España se encarga
del mismo el Departamento de Delitos Tecnológicos de la Guardia Civil), utilizados
de forma creciente por las PYMES, las cuales
se configuran como las víctimas potenciales más vulnerables.
La Guardia Civil alerta: en los
últimos dos años, la comisión de esta práctica delictiva en nuestro país ha
registrado 15 casos cada seis meses. Y ante la tendencia creciente del “fraude
al CEO”, se proponen diferente medidas, entre las que destacan: el sistema de doble verificación, es decir,
la comprobación de la veracidad de la orden o solicitud de transferencias de
dinero; la atención escrupulosa a las direcciones de correo desde donde se
lanzan tales órdenes o solicitudes y, en su caso, la adquisición de familias de
dominios que guarden semejanza entre sí, y, sobre todo, la implantación de códigos
de conducta para todo el personal de la empresa, constituidos por
protocolos estrictos de actuación adecuados para la detección y repuesta de las
situaciones descritas