El email de mi jefe parecía tener sentido. Decía que un nuevo proveedor necesitaba un pago urgente de US$60.000 para asegurar un contrato importante.
Y quería efectuarlo lo antes posible porque estaba de vacaciones y no quería preocuparse más sobre asuntos de trabajo.
Al director financiero también le pareció que era verdad porque su jefe ya había publicado una foto en Instagram de sus vacaciones en Grecia. Su dirección de email también parecía la auténtica.
Pero, por supuesto, no era el jefe.
Era un estafador que había estado investigando y era un buen manipulador psicológico.
La pequeña empresa manufacturera en la que trabajaba -que prefiere mantener en el anonimato- terminó perdiendo más de US$185.000 por aquel fraude.
Cuando el verdadero jefe se enteró de la noticia, despidió al director financiero.
Pero esta historia es más común de lo que parece. Se trata de las estafas BEC (Business Email Compromise; correos Electrónicos corporativos comprometidos, en español) y se están convirtiendo en una amenaza global.
El fenómeno ha logrado defraudar dinero en 22.000 firmas y organizaciones de todo el mundo que han perdido más de US$3.000 millones en los últimos tres años a causa de esta estafa, según datos del Buró Federal de Investigaciones de EE.UU. (FBI, por sus siglas en inglés).
En marzo, el Departamento de Justicia de EE.UU. arrestó a Evaldas Rimasauskas, un hombre lituano de 48 años, por robar más de US$100 millones a dos compañías de internet gracias a esta técnica entre 2013 y 2015.
"Los fraudes por email son el tipo de ataque más común entre nuestros clientes", le dice a la BBC Edward Cowen, director ejecutivo de Remora, una consultora de ciberseguridad con base en Reino Unido.
"Las pérdidas suelen ser de unos US$125.000, pero también hemos registrado robos millonarios. Un hacker casi logra defraudar más de US$7 millones".
¿Cómo puedes protegerte?
El Centro de Quejas de Delitos por Internet (IC3) del FBI dice las estafas BEC son "una seria amenaza a nivel global" y "un fraude financiero creciente más sofisticados que otros que ha visto el FBI".
Y proporciona los siguientes consejos:
"Paranoia pragmática"
Empresas de seguridad cibernética como Proofpoint dicen que sus sistemas son capaces de detectar emails fraudulentos. Y algunos programas de verificación pueden ser de gran ayuda para dar con los impostores.
Pero hay métodos más sencillos.
"Cerca del 70% de los fraudes BEC pueden prevenirse con una simple llamada telefónica", dice Cowen.
No confíes en que quien envía el email es tu jefe; verifica la solicitud de pago en persona o por teléfono.
Amar Singh, director ejecutivo de la empresa de seguridad Cyber Management Alliance, que proporciona herramientas para luchar contra ciberataques, dice que es necesaria una "paranoia pragmática".
"Sé siempre más desconfiado cuando se trate de transacciones financieras", aconseja.
El "eslabón más débil"
La firma de ciberseguridad estadounidense Proofpoint dijo que registraron un aumento del 45% de fraudes BEC en los últimos tres meses de 2016.
Dos tercios de esos ataques utilizaron el truco de falsificar la dirección de correo electrónico y hacer parecer que el mensaje procedía de alguien con un cargo alto en la organización.
Pero, normalmente, si respondes a esos emails en el cuadro "Para" se muestra un nombre de dominio completamente diferente o un nombre de empresa que parece similar pero a menudo tiene una letra más o un par de letras intercambiadas.
Como a nuestros cerebros se les da muy bien hacer que palabras a las que les faltan letras cobren sentido, no solemos darnos cuenta de esos "errores".
El asunto del email suele incluir términos como "urgente", "pago" o "petición".
"La gente sigue siendo el eslabón más débil en lo que respecta a ciberseguridad", dice Rob Holmes, vicepresidente de producto de Proofpoint.
"Es un tipo de fraude bastante poco sofisticado desde una perspectiva tecnológica, pero los criminales hacen una extensa investigación de los altos ejecutivos para que sus emails parezcan auténticos".
"Autoritario"
La táctica habitual de los estafadores es enviar un mensaje como si se tratara de una orden de un jefe autoritario a sus subordinados del departamento de contabilidad.
"Cuanto menos experiencia tienen (los subordinados) más tienden a hacer lo que se les dice sin cuestionarlo", dice Holmes.
"Así que si tu jefe es autoritario eres más propenso a ser víctima de este tipo de ataque".
Otra táctica consiste en establecer una relación con otro miembro del equipo que asume que los emails fraudulentos los envía un directivo.
Una vez que el estafador ha conseguido engañar a esa persona, pide datos de nóminas o cualquier otra información útil.
Es fácil falsificar el cuadro "De" en un correo electrónico y editar el nombre del remitente. De esa forma, en lugar de ver la dirección de email completa, los destinatarios sólo ven el nombre de la persona.
Los estafadores también pueden incluir conversaciones con otros altos ejecutivos en el email debatiendo ese contrato o pago al que se refieren.
Y si los hackers obtienen acceso a la agenda de viajes los directivos, pueden hacer que el email suene más realista.
"Haz el pago ahora porque estaré en un avión durante las próximas 12 horas y estaré incomunicado", podría leerse en un típico email BEC.
Al saber que el jefe está fuera, sus empleados no suelen verificar la petición de pago en cuestión.
Además, los estafadores suelen hacer un seguimiento de los emails con una llamada telefónica de alguien que pretende ser un abogado o contable para "verificar" la transacción.
Todas estas técnicas agregan credibilidad a la mentira.
"Son personas muy inteligentes. A veces, los hackers se demoran seis meses solamente en reunir toda la información que necesitan para hacer que los emails sean creíbles", dice Cowen.