La suplantación de identidad para obtener beneficios económicos no es nada nuevo, pero las empresas de todo tipo se enfrentan ahora a estafadores cada vez más sofisticados que llevan el delito a un nivel completamente nuevo. No es de extrañar para los gestores de riesgos que el fraude por ingeniería social sea un tema candente. Este fraude de rápido crecimiento tiene muchas formas. Las grandes empresas están en peligro porque los empleados pueden no conocerse entre sí y tienen varias sedes, mientras que las pequeñas empresas pueden tener controles más débiles; de hecho, cualquier empresa es un objetivo.

Algunos ejemplos son el fraude de proveedores, en el que los delincuentes podrían obtener facturas pirateando los sistemas de un proveedor o utilizando un membrete para crear facturas u otra documentación. Normalmente, esto puede continuar hasta que el proveedor auténtico se da cuenta de que no le han pagado. Los estafadores pueden solicitar el pago por correo electrónico o llamar al departamento de contabilidad. Estos delincuentes no son ingenuos: habrán hecho sus deberes y cuando descuelguen el teléfono parecerán auténticos. Es probable que conozcan el nombre de la persona con la que hablan y tengan muchos otros datos que les hagan parecer legítimos. Pueden hacer que suene perfectamente razonable cuando dicen que los datos bancarios han cambiado o que están suministrando nuevas facturas que los contienen. En las grandes organizaciones, el fraude puede producirse cuando un delincuente se hace pasar por un director regional, por ejemplo, y solicita transferencias de pagos de la oficina central. De nuevo, ha habido casos en los que estas estafas se han llevado a cabo con facilidad porque los detalles son muy realistas. Hay muchos datos y los delincuentes decididos tienen los medios para encontrar datos bancarios y contraseñas, ya sea mediante piratería informática, suplantación de identidad o explotando controles internos deficientes. Los delincuentes también pueden hacerse pasar por el equipo de fraudes de un banco: de nuevo tendrán mucha información y solicitarán una transferencia para proteger los fondos. Transmitirán una sensación de urgencia para intentar que el empleado se sienta nervioso y que tiene que actuar de inmediato. Los estafadores pueden utilizar números de teléfono y direcciones de correo electrónico convincentes, y algunos incluso emplean ruido de fondo para que parezca que la llamada procede de un centro de contacto legítimo. Los números de teléfono también pueden enviarse por correo electrónico o mensaje de texto solicitando que se devuelva la llamada a un estafador que hable con fluidez. Las empresas de servicios financieros y los minoristas utilizan cada vez más el correo electrónico y los mensajes de texto para comunicarse con los clientes, por lo que pueden parecer solicitudes legítimas. Muchas empresas y particulares reciben correos electrónicos de proveedores auténticos, como minoristas, y estarán acostumbrados a realizar pagos en línea. En lugar de las antiguas estafas consistentes en hacerse pasar por príncipes nigerianos u ofrecer premios de empresas de lotería, ahora los estafadores suelen hacerse pasar por empresas como Amazon o bancos. Pueden decir que un pago ha sido rechazado y solicitar nuevos datos y tener páginas de inicio de sesión casi idénticas. Los gestores de riesgos tendrán los conocimientos necesarios para detectar muchos fraudes de ingeniería social. Sin embargo, un empleado menos avispado y que pueda estar pasando un día de presión en el trabajo, podría caer presa de ellos. De hecho, muchos lo hacen, ya que este delito es una de las principales preocupaciones de la Interpol y de las fuerzas policiales regionales. Sin embargo, sigue habiendo complacencia en demasiadas empresas. Los recién incorporados con escasa formación e incluso el personal temporal pueden tener acceso a información sensible. Incluso si hay incertidumbre, un empleado puede no saber a quién dirigirse para que le oriente. Así pues, los gestores de riesgos tienen un papel clave en la promoción de una formación exhaustiva de todos los empleados, unos buenos sistemas y procesos y una cobertura de seguro adecuada pueden hacer la vida mucho más difícil a los defraudadores de la ingeniería social. Cualquier incidente debe seguirse de cerca y utilizarse potencialmente para la formación.

El fraude por ingeniería social se perpetra con mayor facilidad en las organizaciones en las que las líneas de comunicación y los protocolos son deficientes: si el trabajo está demasiado presionado como para permitir que se realicen comprobaciones adecuadas, es un problema que debe abordar la dirección. Demasiados delincuentes lo tienen fácil, y ahora es el momento de asegurarse de que haya menos presas a su alrededor.