Informe de (In)seguridad: Si hubiera un premio Darwin para la seguridad de la información
08.04.2025
VolverEn nuestro resumen de abril, destacamos los incidentes de seguridad de la información más divertidos y ridículos del mes pasado: Brad Pitt arruina la felicidad familiar, un infiltrado malicioso escapa de la policía irlandesa y Disney dice la verdad con retraso.
Cebo para los topos
Qué ocurrió: La startup de RRHH Rippling “cazó” a un infiltrado malicioso mordiendo el anzuelo.
Cómo ocurrió: La startup Rippling se enfrentó a la caza furtiva de empleados por parte de su competidor, Deel. Las ofertas de trabajo se recibían en chats privados de mensajería, por lo que la dirección sospechó que la empresa tenía un infiltrado que filtraba información a la competencia.
La empresa también empezó a recibir repentinamente consultas de los medios de comunicación sobre la posibilidad de que Rippling eludiera las restricciones gubernamentales para trabajar con determinados clientes. Para confirmar sus sospechas, los periodistas citaron mensajes del Slack corporativo, donde los empleados de Rippling hablaban de este tema.
La empresa llevó a cabo una investigación interna e identificó a un posible infiltrado: trabajaba en el mismo departamento que los que habían sido contactados por los reclutadores de la competencia. Los registros de seguimiento también mostraron que el empleado veía con regularidad canales de Slack no relacionados con sus responsabilidades laborales y buscaba a diario mensajes y archivos con la palabra “Deel”.
Los Rippling decidieron atrapar al “topo” con cebo. Crearon un canal trampa “#d-desertores” en el Slack corporativo, en el que supuestamente discutían cómo molestar al competidor. Después, escribieron directamente a Deel para informarle de la existencia de dicho canal. El resultado no se hizo esperar. El infiltrado encontró y estudió detenidamente el canal. Esto quedó en los registros. Rippling lo calificó de “prueba irrefutable” de que el infiltrado trabajaba para un competidor.
Inmediatamente después, la empresa pidió a las autoridades irlandesas una orden para detener al espía y revisar su teléfono. El espía no estaba de acuerdo, así que mintió a los agentes de la ley que acudieron a la oficina. Dijo que el teléfono estaba en su bolso, pero él mismo corrió al baño e intentó ahogar el smartphone en el retrete. Le dijeron que tales acciones eran ilegales, pero el infiltrado respondió audazmente que estaba “dispuesto a correr ese riesgo”. Después de eso, el empleado salió corriendo de la oficina y desapareció.
Rippling describió todos estos detalles en su demanda contra Deel. También menciona que la empresa encontró otras pruebas de culpabilidad. Por ejemplo, el “topo” filtró información no solo del mensajero corporativo, sino también de la nube, la base de datos del CRM y el directorio interno de empleados.
Comentario de SearchInform: tal vez se trate de la práctica de aplicar la ley en Irlanda. O tal vez el informante inicialmente solo despertó sospechas por su interés en datos que no le correspondían, y no había pruebas reales de que se hubiera comunicado con el competidor. Se supone que la empresa no contaba con DLP, de lo contrario, habría facilitado las cosas: habría detectado la actividad en los chats y almacenes y la comunicación con el competidor, incluso si el empleado hubiera eliminado las cartas. Y no habría necesidad de revisar manualmente los registros.
No es un incidente de hadas
Qué ocurrió: La vida de un empleado de Disney dio un vuelco gracias a una herramienta gratuita de inteligencia artificial.
Cómo ocurrió: Anteriormente informamos sobre la filtración de datos de Disney en el verano de 2024. Recordemos que se filtraron más de un terabyte de mensajes y archivos confidenciales del Slack corporativo. Los hacktivistas de NullBulge reivindicaron el incidente. Dijeron que un empleado de la compañía estaba involucrado en el ataque. Tras el incidente, Disney renunció a Slack, pero la historia continuó.
Resultó que el infiltrado era Matthew van Andel. Descargó un software de generación de imágenes gratuito infectado con el malware en su ordenador personal y, gracias a ello, un desconocido obtuvo acceso al gestor de contraseñas de Matthew y luego a su cuenta corporativa de Slack.
El atacante decidió intimidar a la víctima y le escribió en Discord: “He obtenido acceso a información confidencial relacionada con tu vida personal y professional”. Como prueba, el desconocido envió al empleado de Disney sus datos personales e información que había comentado en un canal cerrado de Slack con sus compañeros. Al día siguiente, Matthew contactó con la policía y apareció en la darknet una publicación con información clasificada de Disney.
El empleado denunció el crackeo al departamento de seguridad de Disney y finalmente se dio cuenta de que el crackeo se había producido a través de su ordenador personal. Unas semanas más tarde, Matthew fue despedido por presuntamente ver contenido para mayores de 18 años. El empleado no admite su culpabilidad y va a demandar a Disney.
Comentario de SearchInform: No es de extrañar que digan: no hay tal cosa como un almuerzo gratis. El incidente pone de relieve una tendencia por la cual la infraestructura corporativa se piratea a través de dispositivos personales. Hubo una ola de tales incidentes en 2020 cuando los empleados se trasladaron masivamente al trabajo a distancia. Slack fue probablemente el único que quedó perplejo. El mensajero simplemente perdió un cliente importante debido a una coincidencia.
Sr. y Sra. Pitt
Qué ocurrió: Un estafador se hizo pasar por Brad Pitt utilizando redes neuronales y engañó a una mujer para que le diera 800 000 €.
Cómo ocurrió: En 2023, cuando Anna, de 53 años, se registró por primera vez en las redes sociales, recibió un mensaje de una mujer que se presentó como la madre de Brad Pitt. Dijo que su hijo “necesita exactamente este tipo de pareja para toda la vida”. Luego, apareció el propio Pitt, pero la mujer no creyó del todo que se estaba comunicando con el actor. Anna estaba convencida por las fotos generadas por redes neuronales, así como por el bolso y las joyas que la “estrella” le envió. Cabe señalar que las fotos generadas eran de baja calidad, y tuvo que pagar más de 5000 € por el “despacho de Aduana” de los regalos.
Posteriormente, el falso Pitt le propuso matrimonio a Anna, a lo que la mujer accedió y se divorció de su marido millonario. Después del divorcio, Ana recibió 800 000 €, que le dio al estafador. El falso Pitt supuestamente necesitaba una operación, y todas sus cuentas (qué lástima) fueron bloqueadas debido a los procedimientos de divorcio con Angelina Jolie.
Anna sospechó que algo andaba mal solo cuando vio fotos del verdadero Brad Pitt con su nueva novia. El estafador lo refutó enviándole a la mujer un vídeo falso generado por una red neuronal. En él, un periodista dice que el actor está saliendo con Anna. Solo cuando los medios volvieron a publicar fotos del ya no soltero Pitt, la francesa se dio cuenta de que estaba siendo engañada y presentó una denuncia policial.
Comentario de SearchInform: Los deepfakes siguen cobrando impulso. Se han convertido en una amenaza no solo para la seguridad personal, sino también para la corporativa. Por ejemplo, los ataques de falsos jefes están en pleno desarrollo: los atacantes falsifican las identidades de los jefes y escriben a sus subordinados en las redes sociales y aplicaciones de mensajería. Los deepfakes se utilizan a menudo para “confirmar” la identidad.
No viste nada
Qué ocurrió: Un especialista en informática obtuvo acceso por accidente a documentos clasificados.
Cómo ocurrió: The Register contó la historia de Tom, especialista en TI. A principios de la década de 1980, él trabajó en el soporte técnico de las Fuerzas Aéreas de un país cuyo nombre no se ha publicado.
La infraestructura a la que prestaba servicios incluía PC con Windows y CP/M. Los archivos de Windows no se abrían en CP/M y viceversa. El problema se resolvió utilizando el programa Formats, que convertía los archivos a un formato comprensible para ambos sistemas operativos.
En aquella época, para controlar los ordenadores había que introducir todos los comandos en el teclado. Incluyendo escribir manualmente el nombre del programa que querías ejecutar. Si accidentalmente introducías el comando Format en lugar del nombre del programa Formats, se borraban los datos de la unidad. Esto es lo que le ocurrió a un oficial, que entonces ordenó a Tom que restaurara los datos.
El informático completó la tarea y decidió asegurarse de que los archivos se abrían correctamente. Todo funcionaba, pero dentro había información militar clasificada a la que Tom no debía tener acceso. El empleado guardó silencio al respecto porque podría conducir a una corte marcial.
Comentario de SearchInform: La moraleja de la historia es interesante. En primer lugar, los problemas con UX/UI parecen haber empezado incluso antes de que aparecieran estas abreviaturas. En segundo lugar, es difícil siquiera imaginar cuántos secretos a lo largo de la historia se han “visto accidentalmente”, “oído por casualidad en la sala de fumadores”, y luego se han mantenido en silencio.
Phishing en Hunter
Qué ocurrió: Troy Hunt, experto en seguridad de la información y propietario de HaveIBeenPwned, fue víctima de phishing.
Cómo ocurrió: Hunt informó de ello en su sitio web oficial. El experto dijo que recibió una carta de phishing muy convincente del servicio de distribución de correo electrónico MailChimp. En ella se advertía de que, debido a las quejas por spam, Hunt ya no podía enviar correos electrónicos. Para reanudar el envío, Hunt tuvo que ir a su cuenta personal a través del enlace y comprobar las campañas de correo electrónico.
Cansado tras el vuelo (el experto en seguridad de la información estaba consultando su correo electrónico a las 6.59 de la mañana), Hunt lo hizo, tras lo cual la página se “congeló”. Inmediatamente se dio cuenta de lo que ocurría e inició sesión en su cuenta a través del sitio web oficial, pero ya era demasiado tarde. Unos atacantes desconocidos habían exportado una lista de correo con 16.000 direcciones de correo electrónico. Más de 7.500 de ellas pertenecían a usuarios que ya se habían dado de baja de la lista de correo.
Hunt pidió disculpas a los suscriptores del boletín y dijo que se notificaría el incidente a todos los suscriptores activos. También expresó su preocupación por el hecho de que MailChimp conserve los datos de los usuarios incluso después de que se den de baja.
Hunt también calificó la situación de irónica. En el momento del ataque, se encontraba en Londres, donde discutía la promoción de la tecnología passkeys, resistente al phishing, con representantes del Centro Nacional de Ciberseguridad del Reino Unido.
Comentario de SearchInform: Hasta el mejor de los cazadores puede tener un desliz. Es importante comprender que no existe la seguridad absoluta. Quizá deberíamos aceptarlo: el eslabón más vulnerable de cualquier sistema es una persona, pues todos somos humanos y cometemos errores. Otra cosa es que esto no sea motivo para rendirse y no defenderse en absoluto. Lo principal es seguir trabajando.
Los errores de los empleados que parecen graciosos a primera vista suponen un peligro para los sistemas de seguridad de la información. Un conjunto de soluciones de SearchInform permite a las organizaciones reducir el impacto del factor humano en la seguridad de los datos: el sistema DCAP FileAuditor previene la violación de los derechos de acceso y ayuda a elevar el nivel de conocimientos cibernéticos de los empleados; Risk Monitor controla los canales de transmisión de datos y previene las fugas de datos; SIEM detecta signos de que los empleados están siendo manipulados por intrusos externos. Puede probar la funcionalidad de las soluciones y crear una protección completa de forma gratuita durante 30 días.