El frau del “cap”: quan la ciberseguretat ja no és només tecnologia

L'anomenat “frau del conseller delegat” (CEO fraud) torna a estar al focus després de casos recents en què empleats han estat enganyats per fer transferències urgents fent-se passar pel seu cap. La sofisticació d'aquests atacs no deixa de créixer: avui ja no parlem només de correus sospitosos, sinó fins i tot de trucades o àudios que imiten la veu real d'un directiu gràcies a la intel·ligència artificial.

Aquest tipus de frau es recolza en tres elements clau: confiança, urgència i jerarquia. L'atacant coneix l'organització, sap qui pren decisions i fa servir la por o la pressió per evitar qualsevol verificació.

Però més enllà de l'atac en si mateix, sorgeix una qüestió crítica:
Fins a quin punt és responsable la persona que ha estat enganyada?

La responsabilitat ja no és tan evident

Tradicionalment, es tendia a responsabilitzar l'empleat per haver “picat”. Tot i això, la realitat ha canviat. Els tribunals comencen a valorar altres factors com:

  • El nivell de formació en ciberseguretat del treballador
  • L'existència (o no) de protocols clars a l'empresa
  • El grau de sofisticació de l'engany
  • La pressió o urgència del context

Avui sabem que no tots els errors humans són negligències. En molts casos, l'empleat és simplement la darrera peça d'una cadena d'errors organitzatius.

La veritable reflexió: la responsabilitat és compartida

Aquest tipus d'incidents evidencien una mica incòmode però necessari:
la ciberseguretat no pot recaure únicament a l'usuari final.

Si una empresa no en té:

  • Protocols de verificació per a pagaments
  • Doble validació en operacions crítiques
  • Formació contínua a enginyeria social
  • Cultura de “confirma abans d'actuar”

aleshores està delegant el risc en les persones… i això és un error estratègic.

De “error humà” a “error sistèmic”

El frau del “cap” és un exemple clar de com els atacs actuals exploten comportaments humans normals: obeir un superior, actuar amb rapidesa o evitar conflictes.

Per això parlar de culpabilitat individual és simplificar el problema.
La pregunta correcta no és “per què l'empleat va caure?”, sinó:

👉 “per què el sistema va permetre que aquest error fos possible?”

En conclusió

En un context on els atacs són cada cop més creïbles, la línia entre víctima i responsable es difumina. La ciberseguretat ha d'evolucionar des d'un enfocament tècnic a un d'organitzatiu i cultural.

Perquè avui, més que mai,
la seguretat no depèn només de no equivocar-se… sinó que equivocar-se no sigui crític.

Altres continguts que et poden intersar:

Riscos emergents d'IA en ciberseguretat Ciberatac a Endesa: anàlisi de l'incident i lliçons Tendències de Ciberseguretat 2025 Protegeix la teva xarxa Wi-Fi Navega amb precaució El robatori més gran de dades de la història: més de 10.000 milions de contrasenyes filtrades
Comparteix aquest contingut:

Calendari de la Ciberseguretat /26

Demana'l gratis!
LIVE WEBINAR | 1/2/2024

Com protegir el teu Active Directory d'atacs Ransomware amb Tenable

Accedeix al workshop

Servei d'avisos

Rep les alertes de seguretat més importants al teu email