Escrito por: Jerónimo Corregido
Se denomina “estafa del CEO” a la suplantación de la identidad de los directivos de una empresa, mediante IA, para robar dinero o información. Es un tipo de fraude que presiona y aísla a la víctima para que tome decisiones rápidamente, a partir de la autoridad que impone la cúpula corporativa.
Las estafas laborales ahora recurren a deepfakes para suplantar a los directivos.
Cuando las apariencias engañan: qué es la estafa del CEO
Está claro: si tu jefe te da instrucciones en una reunión, luego hay que cumplirlas. Sin embargo, ¿qué pasaría si tu jefe no es real, sino una ilusión de la inteligencia artificial? Es lo que está sucediendo con la nueva estafa del CEO.
Este fraude implica una intensa investigación sobre las empresas que son víctimas y un fuerte desarrollo de recursos tecnológicos. Consiste en suplantar la identidad del CEO o de otros directivos de una empresa, con el fin de robar dinero o extraer datos confidenciales.
La estafa del CEO comienza con algo tan cotidiano como una solicitud de reunión online. La persona que se conecta a la plataforma creerá que está hablando con su jefe y su equipo, pero en realidad son hologramas: la imagen y la voz fueron construida con IA.
A esto se lo conoce como deepfake, e involucra la suplantación de una persona a partir de contenidos audiovisuales. Ejemplos de esta técnica se han visto en grandes cantidades; lo difícil es hacer que el engaño luzca tan real como para confundir a alguien que conoce a las personas suplantadas.
La estafa del CEO se estructura a partir de una relación de autoridad, que utiliza las jerarquías empresariales para llamar a la acción. Pero también se caracteriza por un sentido de urgencia, al igual que en muchos otros fraudes digitales. Con esto se pone prisa en las víctimas y se reduce el riesgo de duda.
Como la estafa del jefe suele involucrar algún tipo de movimiento extraño, como transacciones voluminosas o aportes de información, los atacantes buscan mantener la mayor confidencialidad posible. Es decir: intentan aislar a la víctima de su equipo para que no consulte sobre lo que está sucediendo.
Y aún hay más: el engaño suele estar acompañado de palabras elogiosas y hasta promesas de ascenso. La víctima está más pendiente de hacer un buen trabajo frente a sus superiores que de buscar indicios que señalen algún tipo de irregularidad.
Algunos ejemplos famosos y cómo protegerse del fraude
Recientemente, un administrativo español de una multinacional cayó en la estafa del CEO. Tras tener una reunión con quien creía que era su jefe y el equipo directivo, procedió a transferir 40.000€ a una cuenta en el extranjero. Según el habían indicado, era para la compra de una nueva máquina, obligatoria para una inminente auditoría.
Días más tarde el CEO real de la empresa se comunicó con el funcionario y el error quedó en evidencia. Los estafadores habían usado tecnologías avanzadas de IA para clonar la voz y la imagen de la cúpula. Cuando quisieron recuperar el dinero, ya había sido fugado en plataformas sin controles bancarios.
No es el único caso: hay redes enteras dedicadas a este engaño. De hecho, en 2022, la Policía Nacional descubrió un grupo orientado a esta estafa que operaba en Madrid, Albacete y Valencia. Habrían realizado fraudes a distintas empresas por montos superiores a los 850.000€.
Todavía mayor fue el caso en Hong Kong, donde en 2024 una empresa perdió 39 millones de dólares por la estafa del CEO. Un empleado realizó las transacciones luego de tener una reunión online con quien creía que era su superior.
Los especialistas en seguridad empresarial sostienen que una de las claves para evitar la estafa del jefe falso es respetar a rajatabla los protocolos internos. Esto quiere decir que se debe evitar el micromanaging y la toma de decisiones en aislamiento, sobre todo cuando se trata de decisiones de peso.
Si el supuesto CEO pide secretismo, es otra señal para dudar. Lo mismo si se realizan pedidos con urgencia que puedan resultar sospechosos. Los estafadores no siempre requieren transacciones de dinero; a veces solo piden credenciales para robar información sensible.
