20 de agosto de 2025 - Tiempo de lectura 6 min
La conocida como estafa del CEO es un tipo de fraude sofisticado donde los cibercriminales suplantan la identidad de un alto directivo de una empresa para engañar a los empleados con la capacidad para ejecutar órdenes financieras para que realicen transferencias bancarias de forma urgente a una cuenta controlada por los ciberdelincuentes. Son numerosos los casos en que las empresas han sido víctimas de esta técnica. En España, el caso más conocido por este tipo de fraude es el de la EMT de Valencia, en el que los ciberatacantes lograron hacerse con un botín de 4 millones de euros.
La clave de esta técnica de spear phishing es que no se centra en las vulnerabilidades que pueda tener una compañía, sino en la manipulación psicológica y el engaño de los usuarios. Así, cualquier empresa, independientemente de su tamaño y del sector en el que opere, puede caer en la trampa.
Para comprender mejor cómo operan estos ciberdelincuentes y cómo se puede contener su avance, vamos a imaginar un caso aplicando las cuatro fases clave que propone la norma ISO 27001 para la gestión de la seguridad de la información:
El objetivo inicial del spear phishing no es que se empiecen a hacer transferencias de manera inmediata. Eso haría saltar las alarmas y, probablemente, los ciberdelincuentes no conseguirían su objetivo. Su método de ataque es mucho más sutil. Siguiendo con el ejemplo anterior, cuando la empleada abrió el PDF, ejecutó un spyware, un tipo de malware diseñado para espiar sin ser detectado y que recopila todo tipo de información de manera sigilosa. Y es que, el spyware no solo roba correos electrónicos o mensajes, también puede grabar las pulsaciones del teclado, acceder a aplicaciones corporativas, tomar capturas de pantalla e, incluso, activar el micrófono y la cámara del dispositivo.
Con toda la información que recopila este spyware, los ciberatacantes tienen acceso a una gran cantidad de credenciales, información financiera y comunicaciones internas de la empresa. Todos estos datos les permiten lanzar una segunda oleada de correos, esta vez suplantando al CEO con total precisión y solicitando que se realice una transferencia bancaria urgente. La empleada, confiada en la veracidad del mensaje, realiza las transferencias creyendo que han sido ordenadas por el máximo responsable de la compañía.
¿Por qué se ha llegado a esta situación? Básicamente porque falló la fase de protección. La empresa no cuenta con herramientas de gestión y defensa de dispositivos móviles (MDM, MTD). Esta situación expone a los terminales a todo tipo de vulnerabilidades. Además, la empresa tampoco tenía políticas que limitaran el uso de los teléfonos, por lo que los empleados los utilizan tanto para tareas profesionales como para asuntos personales. Esto incrementa el riesgo de que los ciberdelincuentes instalen un spyware, como finalmente sucedió en el ejemplo que ponemos.
No obstante, aunque se cuente con las últimas soluciones de protección del mercado y se tenga una política clara de ciberdefensa, ninguna empresa está exenta de sufrir un ciberataque exitoso. La clave está en el factor humano, que sigue siendo el eslabón más débil en cualquier estrategia de ciberseguridad.
Siguiendo con nuestro ejemplo, cuando la orden de transferencia llegó a la bandeja de entrada de la empleada, tampoco se había preparado la fase de respuesta, por lo que el ataque de spear phising también tuvo éxito. En un escenario ideal, la empresa habría tenido protocolos de verificación, habría realizado simulacros de phishing y habría impartido sesiones de concienciación sobre amenazas como el spear phishing o la estafa del CEO. Esto habría permitido reducir el éxito del ciberataque de forma significativa. Por este motivo, es esencial que las empresas establezcan una formación continua en ciberseguridad para que los empleados sean capaces de identificar y notificar los intentos de fraude.
El impacto de la estafa del CEO en una empresa es devastador. El spyware instalado por los ciberdelincuentes supone un auténtico desfalco económico que puede llevar incluso a la desaparición de la empresa. En la práctica totalidad de los casos, ese dinero es imposible de recuperar.
Sin embargo, la estafa del CEO no solo afecta a la viabilidad económica de la empresa. El spyware permite que los ciberdelincuentes accedan a todo tipo de datos de la empresa. Estamos hablando de información relativa a contratos, datos de clientes o de propiedad intelectual y otros activos críticos que afectarán a la reputación de la compañía. Esta fuga de datos sensibles puede acarrear a la empresa multas significativas por incumplimiento de las normativas de protección de datos y otras acciones legales. En este momento entra en juego la última fase de recuperación. Contar con copias de seguridad y con un plan de recuperación ante incidentes de este tipo permitiría restablecer las operaciones y minimizar los daños. Sin embargo, en este caso la pyme carecía de estas medidas, lo que agravó el impacto económico, reputacional y legal. En definitiva, establecer políticas claras, contar con las herramientas adecuadas y formar a los empleados es determinante para evitar que se propague un spyware u otro tipo de malware.
En un contexto de amenazas cada vez más personalizadas y sofisticadas, como el spear phishing, la mejor defensa es una cultura de seguridad presente en todos los niveles de la organización. Las pymes que integran la ciberseguridad en su estrategia global, refuerzan sus procesos y se mantienen alerta estarán mejor posicionadas para crecer con confianza en un entorno digital cada vez más desafiante. Contar con un plan basado en la identificación, protección, respuesta y recuperación puede marcar la diferencia entre sufrir un incidente y que este tenga un impacto grave en tu empresa.
Etiquetas relacionadas:
La transformación digital ha revolucionado la manera en que las pequeñas y medianas empresas operan, pero también ha abierto nuevas ventanas de vulnerabilidad. Aunque muchas empresas se concentran en protegerse contra ataques digitales tradicionales, una amenaza más sutil pero igualmente devastadora acecha a través del medio más básico: el teléfono.
La ciberseguridad es uno de los pilares sobre los que se debe construir cualquier estrategia empresarial. Y no es para menos. Según los datos del Instituto Nacional de Ciberseguridad (INCIBE), en 2024 los incidentes de ciberseguridad gestionados aumentaron un 16,6 % respecto al año anterior, con más de 31.500 casos que afectaron directamente a empresas. En este contexto en el que las ciberamenazas están creciendo y son cada vez más sofisticadas, un problema al que se enfrentan las empresas es la amplia oferta de soluciones que se encuentran en el mercado. Elegir una de ellas, sobre todo en el caso de las pymes, que cuentan con menos recursos, es complejo, pero hay soluciones que apenas tienen coste y mejoran la respuesta ante posibles incidentes y amenazas. Entre las más destacadas se encuentran las herramientas de Detección y Respuesta de Endpoint, también conocidas como EDR, que en la actualidad ven potenciadas sus virtudes gracias a la inteligencia artificial.
Es esencial proteger las conversaciones de la empresa para salvaguardar la información confidencial que circula dentro de la organización, aunque en ocasiones suele pasar desapercibida frente a otros riesgos de seguridad. Y es que, la protección de las comunicaciones evita que personas no autorizadas puedan acceder a datos sensibles que provoquen daños a la reputación de tu empresa. Existen diversas fórmulas y tecnologías para proteger los datos, pero una de las más efectivas es la encriptación de extremo a extremo, también conocida como E2EE (End-to-End Encryption).
Hasta poner en marcha nuestro Plan Director de Ciberseguridad, todo lo que habíamos hecho en ese tema había sido a nivel interno, y eso que no contamos con un departamento de IT especializado. Habíamos ido aprendiendo, formándonos y asistiendo a jornadas y eventos formativos de los cuáles siempre sacábamos alguna conclusión o consejo útil, como eliminar la wifi de invitado. Pero al final todo evoluciona y, de la misma manera que los atacantes cada vez saben más, nosotros también tenemos que evolucionar.
La continuidad de un negocio depende en gran medida de su capacidad para proteger y recuperar su información crítica. Sin embargo, muchas pymes aún no cuentan con un sistema de copia de seguridad eficaz, por lo que subestiman el impacto real que puede tener una pérdida de datos.
El riesgo es más habitual de lo que parece y con consecuencias muy costosas: el coste medio de un ciberataque en una pyme española se sitúa entre los 75.000 y los 80.000 €, según datos publicados por la Revista Pymes. Además, la inactividad derivada de una brecha puede suponer hasta 10.000 € por hora en pérdidas económicas y operativas, afectando directamente a ingresos, productividad y reputación.
Y no hablamos solo de ciberataques. Fallos humanos, errores técnicos o desastres físicos también pueden dejar una empresa fuera de juego en cuestión de minutos. Ante este escenario, contar con un servicio de backup profesional ya no es una opción, sino una decisión estratégica para garantizar que el negocio pueda recuperarse con rapidez y seguir operando con normalidad.
La ciberseguridad y la protección de datos son dos pilares fundamentales sobre los que debe sustentarse la estrategia de cualquier tipo de empresa. Sin embargo, los negocios suelen dejar este aspecto en un segundo plano, lo que no solo pone en riesgo su negocio, sino que también puede conllevar sanciones por incumplimiento de las distintas normativas legales.
Es fundamental que tanto pymes como autónomos comprendan que la protección de datos no es solo una recomendación, es una obligación legal. Cualquier entidad que gestione información personal de clientes, proveedores o empleados está obligada a cumplir con la normativa, independientemente de su tamaño o sector de actividad.
Y es que, las sanciones por incumplimiento de la legislación en materia de protección de datos pueden tener consecuencias muy negativas. En los casos más graves, las sanciones pueden alcanzar los 20 millones de euros o el 4% de la facturación anual. Incluso aquellas infracciones menores pueden derivar en sanciones importantes que afecten al negocio de cualquier pyme o autónomo.
Muchas pequeñas y medianas empresas piensan que, precisamente porque son pequeñas, nadie va a tener interés en atacarlas. Nada más lejos de la realidad. A menudo, los ciberdelincuentes se dirigen a estos pequeños negocios porque saben que tienen menos recursos que las grandes empresas, lo que puede facilitarles la puerta de entrada.
Además, según varios estudios recientes, como el informe de seguridad y amenazas de webs elaborado por Sectigo, casi la mitad de las pymes han sufrido al menos un ciberataque en los últimos años, lo que pone en riesgo su operatividad, su reputación y su supervivencia.
Los dispositivos móviles se han convertido en herramientas indispensables para todas las empresas, permitiendo a sus empleados conectarse y ser productivos desde cualquier lugar. Sin embargo, la creciente dependencia de smartphones, tablets y Chromebooks también expone a las empresas a importantes riesgos de seguridad. Por eso, garantizar la ciberseguridad de los dispositivos móviles ya no es opcional: es una necesidad estratégica.
El incremento de los ciberataques y su creciente sofisticación han convertido la ciberseguridad en una prioridad para todo tipo de empresas, incluidas las pymes. Sin embargo, estas organizaciones, que carecen de los recursos tanto económicos como humanos de las más grandes, tienen dificultades para abordar los retos relacionados con la ciberseguridad. En este contexto, la consultoría en ciberseguridad proporciona las herramientas y los conocimientos necesarios para protegerse de las ciberamenazas.
La ciberseguridad se ha convertido en una prioridad absoluta para las pequeñas y medianas empresas. Según indica este análisis sobre ciberataques a las pymes en 2025, los datos son alarmantes: el 43% de los ciberataques están dirigidos a pymes y cada 11 segundos una de estas empresas sufre un intento de ataque. También es importante recordar que el coste medio de un ciberataque asciende a 110.000 euros, una cifra que puede ser devastadora para negocios con presupuestos ajustados.
La digitalización de las pymes ha supuesto un revulsivo que les ha permitido crecer e incrementar su productividad. Sin embargo, estos procesos de transformación digital también han provocado que tengan que afrontar distintos retos, entre los que destaca el desarrollo de un puesto de trabajo seguro.
Las pymes están expuestas a una amplia variedad de ciberamenazas, como el phishing, el ransomware o el robo de datos, por lo que fomentar un entorno laboral seguro es esencial para proteger los datos críticos de la empresa y garantizar la continuidad del negocio.
La seguridad es una de las principales preocupaciones que tienen las pymes. En este contexto, la firma digital se convierte en un elemento esencial para garantizar la autenticidad y la integridad de los documentos electrónicos.
Para entender qué es la firma digital basta, con comprender que, del mismo modo que la firma manuscrita identifica a un documento físico con una persona, la firma digital vincula un documento electrónico con su autor. Para que la firma digital sea válida, se utilizan certificados digitales que son emitidos por entidades de certificación reconocidas y que garantizan la identidad del firmante.
En este artículo veremos cómo crear una firma digital, cuáles son sus ventajas y cuál es su importancia a la hora de validar los documentos.
La ciberseguridad se ha convertido en uno de los elementos más importantes en las estrategias de tecnología de cualquier tipo de empresas. El incremento en el número de ciberataques que se ha producido en los últimos años, así como la mayor sofisticación de los mismos ha provocado que las organizaciones, independientemente de su tamaño, hayan aumentado sus inversiones en soluciones de ciberseguridad para proteger la información, los datos y el equipamiento tecnológico.
Sin embargo, proteger la información no es una tarea sencilla para todas las empresas. Aquellas más pequeñas no tienen los recursos necesarios para implementar las soluciones más modernas y, en muchos casos, tampoco poseen los conocimientos necesarios para desarrollar una estrategia de ciberseguridad que les permita hacer frente a los ciberataques.
No obstante, incluso las grandes organizaciones, están expuestas a todo tipo de ciberamenazas y la mayoría de los ataques exitosos vienen provocados por errores muy simples. Por eso, con cinco pequeños pasos y claves, se podrá proteger la información de cualquier empresa y todo ello a un coste reducido.
Contacta con nosotros: Centro de conocimiento de V-Hub
