Una guía para detectar estafas de suplantación de identidad de altos ejecutivos antes de que el falso director ejecutivo reciba una transferencia bancaria real.
Recibes un correo electrónico o una llamada. El nombre en la pantalla es el de tu director ejecutivo o director financiero. El tono es serio. Se trata de un acuerdo confidencial, una adquisición, un asunto regulatorio, algo importante. Y necesitan que actúes con rapidez, discreción y sin avisar a nadie.
Se siente urgente. Se siente real. Y ese es precisamente el objetivo.
Las estafas de suplantación de identidad de altos ejecutivos son una de las formas más comunes de fraude financiero que afectan a las empresas hoy en día. Los estafadores dedican tiempo a investigar su empresa, aprendiendo nombres, organigramas y estilos de comunicación antes de contactarle. Cuando lo hacen, se hacen pasar por alguien conocido y de confianza. Pero no lo son. Son impostores.
La buena noticia es que, una vez que sabes qué buscar, estas estafas son sorprendentemente fáciles de detectar.
Los estafadores siguen un patrón predecible. Conocerlo te da ventaja sobre ellos.
Comienzan con la suplantación de identidad.Los atacantes investigan minuciosamente a su equipo directivo y se hacen pasar por directores ejecutivos, directores financieros o altos cargos. Se comunican con usted mediante llamadas telefónicas, aplicaciones de mensajería o correos electrónicos que imitan a los legítimos. En algunos casos, incluso utilizan identidades robadas de ejecutivos reales o hacen referencia a asesores legales externos para que la solicitud parezca legítima.
A continuación viene la historia. Casi siempre se presenta como un proyecto altamente confidencial.Las fusiones, adquisiciones, inversiones o reestructuraciones urgentes son temas recurrentes. Se oyen frases como «esto está sujeto a un acuerdo de confidencialidad», «el departamento legal está involucrado» o «solo usted puede saberlo». Estas no son señales legítimas de un ejecutivo real. Su objetivo es aislarlo e impedirle verificar la solicitud.
También te apartarán de los canales oficiales.En lugar de usar el correo electrónico corporativo o los sistemas aprobados, trasladan la conversación a cuentas de correo electrónico privadas, aplicaciones de mensajería o llamadas telefónicas. Esto les permite eludir los controles de seguridad y no deja rastro de auditoría.
Espere presiónPalabras como «urgente», «se necesita hoy» o «esto debe estar terminado antes del final del día» se utilizan para forzar una acción rápida. Los verdaderos ejecutivos no le piden que se salte los procedimientos bajo presión. Los estafadores se aprovechan de que reaccione rápidamente, impidiéndole usar su buen juicio.
En los ataques más sofisticados, los estafadores organizan reuniones completas.. Organizan videollamadas falsas con participantes que parecen ser ejecutivos, abogados o personal financiero reales. Algunos incluso utilizan deepfake Utiliza tecnología o fotos de perfil de LinkedIn para que la interacción parezca auténtica. Si algo te resulta extraño, confía en tu intuición y verifica la información en otros canales de comunicación.
Finalmente, suelen proporcionar documentación para respaldar la solicitud.Esto podría incluir contratos falsos, aprobaciones de la junta directiva, cartas de oferta o autorización. Estos documentos parecen convincentes a primera vista, pero a menudo contienen errores sutiles, formato inconsistente, datos del remitente sospechosos o simplemente circunstancias inusuales.
Cuando algo no te parezca bien, haz una pausa (P) antes de actuar, evalúa (A) la situación e informa (R) de cualquier problema a tu gerente, al equipo directivo o al departamento de TI. PAR es un acrónimo sencillo y útil que cualquiera puede recordar en cualquier momento.
Al evaluar la situación, llame directamente a la persona utilizando un número que ya tenga registrado. No utilice la información de contacto del mensaje sospechoso. Una llamada rápida a un número verificado solo toma dos minutos y podría ahorrarle a su empresa miles de dólares.
Comunica tus inquietudes a un compañero o a tu equipo de TI. Los estafadores cuentan con que te sientas solo en ese momento. Involucrar a otra persona en la conversación cambia la dinámica de inmediato. Los verdaderos ejecutivos no se oponen a que una segunda persona revise una solicitud inusual. Las buenas culturas empresariales recompensan estas verificaciones en lugar de cuestionarlas o avergonzar a quien las realiza.
Si una solicitud te pide que omitas tu proceso de aprobación habitual, esa es la señal más clara de todas. Las transferencias bancarias, los pagos a nuevos proveedores y los cambios de cuenta tienen controles por una razón. Los atacantes suelen afirmar que habrá graves consecuencias si te demoras o informas del problema. Quieren que creas que la urgencia es real y que hay mucho en juego. Ninguna emergencia genuina justifica saltarse el proceso de aprobación, y ningún ejecutivo serio te pedirá que ocultes una transacción financiera a tu propio equipo.
El mejor momento para hablar de esto con tu equipo es antes de que suceda. Evita crear un documento de proceso complicado de 30 páginas que nadie lea. Necesitas un entendimiento común y sencillo: las solicitudes financieras inusuales siempre se verifican por teléfono, sin importar quién las haga.
Capacite a su personal para que reconozca las señales de alerta: direcciones de correo electrónico personales o cuentas externas utilizadas para solicitudes urgentes, exigencias de confidencialidad y presión para actuar de inmediato.
Los estafadores confían en la rapidez y el silencio. Se les puede vencer con una llamada de dos minutos y una cultura donde la verificación siempre sea bienvenida, fomentada e incluso obligatoria.
Comparte este artículo con los miembros de tu equipo que gestionan pagos, transferencias o solicitudes de proveedores. Dediquen cinco minutos a analizar qué hacer si alguien recibe un mensaje como los descritos anteriormente. Establezcan una regla sencilla: cualquier solicitud financiera urgente de un ejecutivo deberá ser verificada por voz antes de tomar cualquier medida. Documenten esto en una política o documento de proceso financiero sencillo, pero manténganlo simple.
Este hábito es un paso eficaz que su organización puede dar hoy mismo, ¡y lo mejor de todo es que no requiere presupuesto adicional!
Descubra y comparta las últimas tendencias, consejos y mejores prácticas en ciberseguridad, junto con nuevas amenazas a las que debe prestar atención.
Los tokens OAuth no caducan cuando los empleados se van, las contraseñas cambian o las aplicaciones se vuelven maliciosas. Su programa de seguridad necesita...
LEER MÁS
La mayoría de las filtraciones no comienzan con un hacker con sudadera descifrando código a las 3 de la mañana. Comienzan con tu nombre de usuario y...
LEER MÁS
Actualizaciones del artículo: A partir del 6 de mayo de 2026, todos los principales laboratorios de IA de EE. UU., incluidos Google DeepMind, Microsoft, xAI,...
LEER MÁSObtenga una visión más clara de los riesgos humanos, con un enfoque positivo que supera las pruebas de phishing tradicionales.
