SINGAPUR – Una contraseña estándar simple compartida por los empleados fue posiblemente el eslabón más débil que permitió a los piratas informáticos irrumpir en el sitio web de la agencia creativa y de publicidad Splash Productions y desfigurarlo.
El incidente, que tuvo lugar hace unos cinco o seis años, fue una llamada de atención que impulsó a la empresa a mejorar drásticamente su ciberseguridad con una serie de medidas para evitar que se repita.
Esto incluyó la obtención de claves de seguridad físicas para que el personal actuara como autenticación de dos factores (2FA) para iniciar sesión en dispositivos de trabajo, hacer cumplir el uso de contraseñas seguras, cifrar datos en computadoras y configurar software de seguridad para detectar actividades sospechosas.
El director creativo de la compañía, Stanley Yap, le dijo a The Straits Times que se necesitaban estas inversiones.
A pesar de que el incidente de piratería en el sitio web de la compañía no causó mucho daño: no hubo pérdidas financieras, algunos datos perdidos se recuperaron de las copias de seguridad y sus clientes enfrentaron algunos inconvenientes al tratar de averiguar sobre Splash: la compañía no quería convertirse en un objetivo habilitador para los ciberdelincuentes.
«Como socio y proveedor, debemos mantener nuestra seguridad sólida para no convertirnos en un vacío legal para que los piratas informáticos tomen el control de los micrositios, sitios web o plataformas de redes sociales de nuestros clientes (que administramos)», explicó Yap. «No se trata solo de nuestro trabajo, también se trata de las plataformas de nuestros clientes».
Splash ha trabajado para muchas agencias y empresas gubernamentales.
¿Qué pasa con la contraseña que podría estar en la raíz del incidente de piratería informática de la empresa? Probablemente era la contraseña predeterminada «admin», que Splash no cambió en ese momento.
BH Global es otra empresa que ha tomado medidas para protegerse después de un susto de seguridad.
El proveedor de productos eléctricos para el sector marítimo y offshore estuvo a punto de caer en una sofisticada estafa de phishing, en la que los delincuentes se hicieron pasar por un proveedor con el que solía trabajar la empresa.
Patrick Lim, director de operaciones del grupo BH Global, dijo que hace unos nueve o diez años, un proveedor habitual en China, de la nada, solicitó el pago por adelantado por correo electrónico.
Cuando fue interrogado por el Sr. Lim, el «proveedor» explicó por correo electrónico que necesitaba el dinero antes porque su flujo de caja era limitado.
Los delincuentes pudieron producir una factura de apariencia legítima que seguía el mismo formato para los documentos con los que BH Global estaba familiarizado e incluso citaban productos que la empresa normalmente compraba al proveedor. Esto hizo que pareciera menos probable que fuera un pedido falso.
Pensando que no pasaba nada (el Sr. Lim también comprobó la dirección de correo electrónico del proveedor varias veces y era correcta), le pidió al departamento de finanzas de su empresa que pagara unos 80.000 dólares.
Pero más tarde ese mismo día, el banco que procesó el pago llamó para alertar a BH Global de que era inusual que un proveedor en China tuviera una cuenta en Canadá para aceptar pagos.
El Sr. Lim se dio cuenta de que lo habían engañado y se canceló el pago. Más tarde descubrió que el vendedor había sido pirateado y los delincuentes se hacían pasar por él para engañar a otros con solicitudes de pago fraudulentas.
Decidida a evitar que la historia se repita, BH Global se dio cuenta de que, al intentar protegerse, también podría ofrecer servicios de ciberseguridad a otras empresas.
Por lo tanto, aproximadamente dos años después del incidente de phishing, BH Global creó Athena Dynamics, que se separó del departamento de TI del grupo de la empresa.
Un método que utiliza la compañía para ayudar a minimizar los ataques de phishing difíciles de detectar consiste en destruir cualquier malware oculto en los archivos, convertirlos a otro formato de archivo y luego convertirlos nuevamente.
Esta tecnología de «desinfección sin detección», que no se basa en la detección de actividad sospechosa, se puede utilizar para «limpiar» el malware de los archivos adjuntos de correo electrónico.
Aún así, dijo Lim, «Educar al personal también es muy importante, no abrir archivos adjuntos y cómo identificar direcciones de correo electrónico incorrectas».