Enginyeria social: el CEO Fraud i la vulnerabilitat del factor humà a l’empresa

De Eduard Bardaji el 11.5.2026

<span id="hs_cos_wrapper_name" class="hs_cos_wrapper hs_cos_wrapper_meta_field hs_cos_wrapper_type_text" style="" data-hs-cos-general-type="meta_field" data-hs-cos-type="text" >Enginyeria social: el CEO Fraud i la vulnerabilitat del factor humà a l’empresa</span>

En l’ecosistema actual de la ciberseguretat, existeix una paradoxa fascinant i alhora aterridora: mentre les empreses inverteixen milers d’euros en tallafocs de nova generació, sistemes de detecció d’intrusions i xifrat de dades, la bretxa de seguretat més habitual continua sent un simple correu electrònic ben redactat. No parlem de virus complexos ni d’atacs de força bruta, sinó d’enginyeria social. Dins d’aquesta disciplina, el CEO Fraud (frau del CEO) s’ha consolidat com l’estafa més lucrativa i perillosa per al teixit empresarial espanyol.

Aquest atac no busca vulnerar el programari, sinó la psicologia de l’empleat. Aprofita la jerarquia, el sentit del deure i la urgència per manipular les persones. Per a un CEO o un responsable d’IT, entendre els mecanismes d’aquesta estafa no és només una qüestió de ciberseguretat, sinó de supervivència financera i reputacional.

Nueva llamada a la acción

Què és exactament el CEO Fraud i per què és tan efectiu?

El frau del CEO és una variant sofisticada del Business Email Compromise (BEC). En essència, un ciberdelinqüent es fa passar per un alt directiu de l’empresa —generalment el CEO o el director financer— per contactar amb un empleat amb capacitat per fer transferències o accedir a dades sensibles.

L’efectivitat d’aquest atac es basa en la seva simplicitat tècnica i la seva complexitat psicològica. L’atacant no envia un enllaç maliciós ni un fitxer adjunt amb malware. Simplement envia un missatge de text o un correu electrònic. La clau està en el context: el missatge sol arribar en moments de molta càrrega de feina, demana una operació “confidencial” i “urgent” i apel·la directament a la lleialtat de l’empleat envers el seu superior.

Nueva llamada a la acción

El paper de l’enginyeria social en l’engany

L’enginyeria social és l’art de la manipulació. Perquè el frau tingui èxit, el delinqüent fa una fase prèvia de reconeixement. Estudia xarxes socials professionals (com LinkedIn) per conèixer l’estructura de l’empresa, qui és qui, qui està de viatge o quins projectes hi ha en marxa. Si el CEO publica que assisteix a una fira a Alemanya, l’atacant té l’escenari perfecte: “Estic a Berlín, no puc parlar per telèfon, però necessito que liquidis aquesta factura urgentment per tancar un acord estratègic”.

Anatomia d’un atac: fases del frau

Un atac de CEO Fraud no és fortuït; és una operació de precisió que segueix un patró metodològic dividit en diverses etapes.

Fase d’intel·ligència i reconeixement

L’atacant dedica setmanes a monitoritzar l’activitat de l’empresa. Utilitza eines d’intel·ligència de fonts obertes (OSINT) per identificar víctimes potencials, habitualment del departament d’administració o comptabilitat. Busquen patrons de redacció del CEO, expressions habituals i noms de proveïdors.

Vector d’atac: spoofing i compromís de comptes

Aquí entra la tècnica. L’atacant pot optar per dues vies:

  1. Email spoofing: suplantar l’adreça de correu perquè sembli legítima (per exemple, canviant una “l” per un “1” al domini).

  2. Account takeover: si la seguretat és feble, pot haver hackejat prèviament el compte real del directiu mitjançant phishing.

Execució i manipulació psicològica

El missatge inicial sol ser breu: “Estàs al teu lloc? Necessito ajuda amb un assumpte urgent i confidencial”. Després, quan l’empleat respon, es demana la transferència. El to és imperatiu però proper, generant una sensació d’exclusivitat: “Confio en tu perquè això surti bé sense que ho sàpiga la resta de l’equip”.

Impacte econòmic i reputacional a les empreses espanyoles

A Espanya, les dades d’organismes com l’INCIBE i les forces de seguretat mostren una tendència creixent. No només es tracta de la pèrdua directa de diners, que sovint supera els sis dígits. El dany real és multidimensional.

Primer, la pèrdua de liquiditat pot paralitzar operacions crítiques. Segon, el dany reputacional davant inversors i clients és difícil de reparar. Finalment, hi ha un impacte humà: l’empleat enganyat pot patir estrès psicològic sever, amb baixes laborals o dimissions.

Estratègies de prevenció des de la direcció

Per a un CEO, la ciberseguretat no és un cost d’IT, sinó una estratègia de gestió de riscos.

Trencar la jerarquia cega

El major aliat d’un estafador és un empleat que té por de qüestionar una ordre del seu cap. És fonamental fomentar un entorn on la verificació dels processos sigui la norma, no una manca de confiança. Si un directiu sol·licita un moviment de fons inusual, l’empleat ha de sentir-se recolzat a utilitzar un segon canal de comunicació per confirmar l’ordre, fins i tot si això implica “molestar” el CEO amb una trucada ràpida.

Implementació de protocols de doble autorització

La tecnologia és insuficient si els processos financers són lineals. Totes les empreses, independentment de la seva mida, han d’implementar polítiques de “quatre ulls”. Qualsevol transferència que superi un llindar determinat ha de requerir la signatura o autorització digital de dues persones diferents, i mai basar-se exclusivament en una instrucció rebuda per correu electrònic.

Enfortiment tècnic: l’escut del departament d’IT

Tot i que el factor humà és l’objectiu, el departament d’IT té la responsabilitat de reduir la superfície d’atac i posar totes les traves tècniques possibles als delinqüents.

Autenticació multifactor (MFA) i seguretat del correu

L’ús de MFA és innegociable el 2026. Evita que, encara que un atacant obtingui la contrasenya del CEO, pugui accedir al seu compte. A més, és vital configurar correctament protocols com SPF, DKIM i DMARC. Aquests registres tècnics verifiquen que els correus enviats des del domini de l’empresa són legítims, dificultant enormement les tècniques de suplantació d’identitat (spoofing).

Eines d’anàlisi de comportament i filtratge avançat

Els sistemes moderns de seguretat de correu utilitzen intel·ligència artificial per detectar anomalies. Si un correu del “CEO” arriba des d’una IP inusual, o si l’estil de redacció (lexicometria) no coincideix amb l’històric, el sistema ha de marcar el missatge com a sospitós o retenir-lo per a revisió. El departament d’IT ha de liderar la implementació d’aquestes eines de filtratge de nova generació que van més enllà del simple antispam.

La conscienciació com a pilar fonamental: formació i simulacres

No podem esperar que un empleat detecti un frau sofisticat si mai n’ha vist cap. La formació en ciberseguretat ha de ser recurrent i dinàmica. No n’hi ha prou amb un PDF anual que ningú llegeix; la clau està en l’entrenament actiu.

Els simulacres de phishing i enginyeria social són eines extremadament útils. En enviar correus falsos de “frau del CEO” controlats per l’empresa, es pot identificar quins departaments o perfils són més vulnerables. L’objectiu no és castigar qui hi cau, sinó utilitzar l’error com un moment d’aprenentatge pràctic en un entorn segur. Quan un empleat “falla” en un simulacre, la lliçó queda molt més fixada que en qualsevol xerrada teòrica.

Què fer si el frau ja s’ha produït?

Tot i totes les mesures, el risc zero no existeix. Si una empresa detecta que ha estat víctima d’un CEO Fraud, la rapidesa de resposta és l’únic factor que pot permetre la recuperació dels fons.

El primer pas és el contacte immediat amb l’entitat bancària. Les transferències internacionals tenen una finestra de temps, encara que sigui mínima, en què poden ser bloquejades o revertides. Simultàniament, cal procedir a la denúncia davant la Policia Nacional o la Guàrdia Civil, aportant tots els registres dels correus electrònics (incloent-hi les capçaleres tècniques) per facilitar la investigació.

Des del punt de vista tècnic, el departament d’IT ha de fer una anàlisi forense per determinar si hi ha hagut una intrusió real als comptes o si es tracta d’una suplantació externa. Canviar totes les credencials i revisar els registres d’accés és una prioritat absoluta per evitar que l’atacant continuï dins la xarxa.

El CEO Fraud és un recordatori que la tecnologia més avançada és inútil si no va acompanyada d’una gestió intel·ligent del factor humà. A esedsl.com, entenem que la ciberseguretat és un equilibri delicat entre eines robustes, processos financers clars i una plantilla conscienciada.

L’enginyeria social no desapareixerà; al contrari, amb l’auge de la intel·ligència artificial generativa, els correus de suplantació seran cada vegada més perfectes i difícils de distingir.

Per això, la millor defensa és la desconfiança metòdica i la formació contínua. Assegurar el futur de l’empresa passa per blindar la bústia d’entrada, però sobretot per empoderar les persones que la gestionen cada dia.

Nueva llamada a la acción
Article anterior
← Autenticació multifactor (MFA) en apps financeres

Subscriu-te al nostre butlletí i coneix totes les novetats en tecnologia i ciberseguretat.
accio-10-negre (1)
pyme_innovadora_meic-SP_web
kit consulting cabecera
ADHESIVO PÁGINA WEB (1)