Cuando las ciberestafas se cruzan con las carreras de altos directivos de grandes empresas, un error de cálculo o una omisión en la vigilancia puede tener consecuencias desastrosas, más allá de las meras pérdidas financieras. Así, los CEOs y sus más directos colaboradores pueden encontrarse en el punto de mira cuando las defensas fallan... o cuando son ellos mismos los que meten la pata.
Ya te hablamos hace poco de cómo el CEO de la productora de 'Got Talent' y 'Mask Singer' acababa de ser despedido por dejarse estafar vía WhatsApp casi un millón de euros. Pero no es ni mucho menos el primer caso en que ocurre algo similar...
2015: El caso de FACC, el CEO que no cayó en la estafa
Posiblemente, el caso más famoso de un CEO que haya perdido su puesto por una ciberestafa. Y ni siquiera fue él quien cayó en la misma.
En 2015, un hacker que suplantaba la identidad de Walter Stephan, CEO de FACC (un fabricante austriaco de componentes aeroespaciales), envió un correo electrónico al departamento financiero pidiendo la transferencia de 56 millones de dólares para un supuesto proyecto de adquisición. La imitación del estilo de escritura de Stephan fue tan convincente que el personal no solo creyó en la legitimidad del correo, sino que procedió con la transferencia del dinero a una cuenta controlada por los criminales.
La revelación del fraude en 2016 trajo consecuencias gravísimas: no sólo se desplomaron las acciones de FACC y sus ingresos, sino que también resultó en el despido de Stephan y otros ejecutivos clave, como la CFO, Minfen Gu, y un empleado del departamento financiero que cayó en la trampa. Posteriormente, en 2018, FACC intentó demandar a Stephan y Gu por 10 millones de dólares, alegando negligencia en proteger a la empresa contra fraudes online. Sin embargo, los tribunales austriacos desestimaron las demandas en 2019.
2018: El 10% de las ganancias de la empresa, en el bolsillo de los estafadores
En 2018, una conocida cadena francesa de producción cinematográfica y salas de cine, Pathé, fue víctima de un 'fraude del CEO' que se supuso la pérdida de 19 millones de euros y el despido de dos altos ejecutivos (nada menos que la directora general y el director financiero) de su filial en Ámsterdam, Pathé Theaters BV.
Según registros judiciales, la división holandesa de Pathé empleaba a 1.900 personas y registraba ventas anuales de 209 millones de euros en 2017, lo que significa que los estafadores sustrajeron casi el 10% de los ingresos anuales de la compañía.
El fraude se ejecutó mediante el envío de correos electrónicos fraudulentos en los que los atacantes se hacían pasar por altos ejecutivos de la empresa, solicitando transferencias urgentes de fondos a cuentas controladas por los estafadores.
La reconstrucción de la línea de tiempo de los ataques muestra una serie de transferencias realizadas en marzo de ese año, durante las cuales se enviaron grandes sumas a una cuenta con la excusa de que los fondos eran necesarios para completar la adquisición de una compañía extranjera, con sede en Dubai.
Aparentemente, se saltaron todos los protocolos de seguridad porque los estafadores les convencieron de que el acuerdo era tan delicado que "las comunicaciones sólo se pueden llevar a cabo utilizando la dirección de correo electrónico personal del director ejecutivo" de la matriz francesa.
Curiosamente, parte del fraude ocurrió mientras el director financiero de la filial holandesa estaba de vacaciones, lo que muestra una planificación magnífica (o una suerte increíble) por parte de los estafadores. Y fue precisamente la demanda contra Pathé por parte de dicho director financiero (recordemos, despedido por este caso) lo que hizo que esta estafa saltase a los medios.
El tribunal finalmente falló a favor del citado responsable financiero, declarando que no fue culpable de lo ocurrido y ordenando a Pathé pagarle su salario hasta el 1 de diciembre de 2018.
2020: Cuando recuperar (casi todo) el dinero no sirve de nada
En noviembre de 2020, uno de los cofundadores de un fondo de cobertura australiano, Levitas Capital recibió un aparente correo electrónico inocuo que contenía un enlace para una reunión de Zoom. Sin embargo, este enlace era todo menos benigno: al hacer clic en él, se instaló inadvertidamente malware en el sistema, dejando una puerta abierta para los ciberdelincuentes y permitiéndoles obtener control sobre las comunicaciones de la empresa.
Utilizando este recurso, los piratas informáticos procedieron a enviar correos electrónicos de suplantación de identidad (phishing) desde cuentas internas, lo que les permitió emitir facturas falsas a los socios y clientes del fondo. De esta manera, los estafadores lograron orquestar solicitudes de transferencia de fondos que parecían legítimas... por un total de 8,7 millones de dólares.
Aunque los sistemas de control interno de los bancos y de los propios socios comerciales lograron interceptar la mayoría de estas transacciones, los estafadores aún consiguieron hacerse con 800.000 dólares antes de ser detectados. Este golpe no afectó significativamente la liquidez de Levitas Capital, pero sí a su reputación en el mercado, pues provocó una salida masiva de capital.
Pocos meses después del incidente, Levitas Capital anunció su cierre. En este caso, el CEO no fue despedido... pero perdió su puesto igualmente.
Imagen | Marcos Merino mediante IA
En Genbeta | Esta empleada cayó en el 'fraude del CEO', y ahora la justicia de Baleares avala su despido por 'falta de diligencia'
Ver 0 comentarios