Wendy Tran descubrió este año que los hackers presentaron una declaración de impuestos fraudulenta a su nombre, con la esperanza de obtener dinero para sus bolsillos.
Un empleado de recursos humanos envió a los criminales cibernéticos sus datos de impuestos y los de sus colegas en Seagate, el fabricante de discos duros con sede en California. El miembro del personal de recursos humanos, al ver una solicitud de correo electrónico que se suponía era de alguien autorizado para ver los datos, adjuntó los formatos fiscales W-2 de Estados Unidos y los envió por correo electrónico.
El director financiero del fabricante de dispositivos le escribió a los empleados: “Esta equivocación la provocó un error humano y la falta de vigilancia, y se podría haber evitado”.
Tran y una serie de colegas presentaron una demanda con los detalles de su caso contra Seagate. La compañía no respondió a la solicitud de comentarios.
Seagate es una de un creciente número de organizaciones donde los hackers lanzaron ataques llamados phishing, que engañan al personal con correos electrónicos falsos, con resultados que incluyen la pérdida de datos confidenciales, el secuestro de las computadoras con software malicioso y exigen un rescate e incluso la transferencia de fondos a las cuentas bancarias de los criminales.
Muchos consejos de dirección asignan fondos adicionales para la tecnología de seguridad cibernética, pero los expertos advierten que los seres humanos son un punto débil cuando se trata de proteger a las empresas contra un ataque.
Rod Rasmussen, vicepresidente de seguridad cibernética de Infoblox, una compañía de seguridad de redes, dice que hay un aumento en este tipo de ataques —especialmente contra empresas más pequeñas— porque los hackers descubrieron que funcionan.
“El phishing es una manifestación en línea de un problema añejo. Los programas de confianza y otro tipo de fraudes existen desde hace siglos, como en el Prisionero Español”, dice Rasmussen. Se refiere al engaño del siglo 16 para convencer a la gente de enviar fondos, con la esperanza de obtener una recompensa, para que una persona acaudalada saliera de la cárcel.
“Con internet, en lugar de presentar directamente el caso a la víctima, para investigarlos físicamente y después enviar la solicitud por correo, ahora literalmente pueden llenar de correos electrónicos a millones de víctimas potenciales”, dice Rasmussen.
Los hackers entienden la psicología humana y juegan con la codicia, el temor y la curiosidad. Normalmente usan el sitio web de una compañía, o los sitios de reclutamiento, como LinkedIn o Glassdoor, para averiguar quién es el gerente del objetivo y enviarle un correo electrónico que supuestamente es de esa persona.
“Puede ser algo como ‘vimos que próximamente habrá una conferencia que tal vez te pueda interesar’, ‘esta factura no se ve bien, ¿la puedes revisar?’ o ‘¿puedes averiguar qué pasa con esta factura?’”, dice Rasmussen, quien es miembro de Anti Phishing Working Group, un grupo comercial de la industria.
El destinatario hace clic en el vínculo o descarga un archivo adjunto y de esta manera infecta su computadora. Si los estafadores logran engañar a un usuario privilegiado, como un contador, de repente pueden acelerar su presencia en la red. O tal vez fijen la mira sobre el contador con una solicitud que aparentemente es de un director ejecutivo en problemas sin tiempo para hablar. Ansiosos por complacer al jefe, el empleado envía dinero a una cuenta que cree que pertenece al emisor.
El phishing es el punto de entrada a la red para muchos ataques cibernéticos graves, y uno de cada 10 tiene como resultado una brecha de datos, de acuerdo con el informe anual más reciente de Verizon sobre este tipo de ataques. El tiempo medio para que el destinatario abra los archivos adjuntos es de menos de cinco minutos después de que se envió, se dice en el informe.
Existen otras formas, que se conocen como “ingeniería social”, en la que los hackers juegan con la debilidad humana para obtener acceso a las redes. Karl Sigler, gerente de amenazas de inteligencia en el especialista de seguridad cibernética, Trustwave, dice que a muchas personas les tienta la curiosidad de conectar los USB que se encuentran en el lugar de trabajo o incluso dispositivos que les enviaron como regalos. “La ingeniería social básicamente es cuando los delincuentes utilizan trucos psicológicos para forzar un comportamiento en otro ser humano”, dice.
Los evaluadores de penetración de Trustwave, que actúan como los hackers para mostrarles a las empresas sus vulnerabilidades, enviaron teclados modificados para los empleados en una organización, se hacen pasar como recompensas. “Son estos enormes teclados, que tienen muchos adornos y con luz, que realmente destacan”, dice. Cinco computadoras quedaron comprometidas por tres teclados, lo que sugiere que una o dos personas se los “robaron” a sus colegas, dice, lo que implica que está en juego la envidia o la codicia al igual que el orgullo.
Stu Sjouwerman, fundó una compañía, KnowBe4, que capacita a los empleados para que sean más cautelosos con un posible delito cibernético. Una de sus pruebas consiste en enviar correos electrónicos con phishing falso a toda la plantilla laboral para ver cuántos de ellos caen en eso. Posteriormente los empleados toman un curso en línea para aprender en qué deben tener cuidado, y saben que los van a poner a prueba con correos electrónicos falsos.
“El viejo estilo de conciencia de seguridad donde una vez al año juntabas a todo el mundo en la sala de descanso y se mantenían despiertos con cafeína y azúcar hasta morir con presentaciones en Power Point ya no existe más”, dice. “Se tiene que capacitar a los empleados hasta el mínimo detalle para que realmente revisen antes de hacer clic”.