Imagina que trabajas en la BBC de Londres y un día te contactan unos delincuentes, un grupo criminal, para que les ayudes a hackear a tu propia empresa.
Te proponen que, a cambio de que les des acceso al sistema, te darán un porcentaje del dinero que le pedirán a la compañía por devolverle “sanos y salvos” los datos que… ¿secuestraron?
Para que “caigas redondito” en el engaño “cibermaquiavélico”, presumen haber hecho tratos anteriores con empleados de empresas de salud en el Reino Unido e incluso con miembros de un servicio de emergencias en EE. UU. ¡Toda una transnacional dedicada al crimen digital que trata de corromper desde adentro a las compañías!
Ya no se trata solo del hackeo externo al que estábamos acostumbrados —cuando te llama el ex trabajador del banco o el falso call center para intentar robarte—; no: estos tipos, miembros del crimen organizado, tienen en jaque a las corporaciones.
Parece que la ciberseguridad ya no es solo cuestión de detener sistemas de seguridad que actúan como barrera entre la red privada y el exterior filtrando el tráfico que va y viene. Ahora todo recae en la cultura ética de cada trabajador. Definitivamente, una táctica que te pone la piel chinita.
Además, estos hackers tienen un discurso muy persuasivo en el que tratan de convencerte para que traiciones a la compañía en la que trabajas a cambio de no tener que volver a trabajar en la vida: jubilarte enseguida, entre otras delicadas artimañas. Van desde comentarios como “¿realmente tu empresa te paga tanto?” o “podrías vivir en una playa en las Bahamas”, hasta presión emocional, manipulación, promesas de anonimato y —claro— dinero: mucho dinero.
La seducción por el “dinero fácil” golpea cada vez más puertas, y esta vez le tocó al corresponsal de ciberseguridad de la BBC, Joe Tidy.
Afortunadamente, Joe denunció y escribió su propia experiencia para el portal donde trabaja. Pero no todos tienen esos valores: para no ir tan lejos, un trabajador de TI en Brasil cayó en la tentación y vendió sus datos de acceso a los delincuentes, causando el robo de 100 millones de dólares al banco afectado.
Mi colega Joe fue víctima de MFA bombing, una técnica de ciberataque que surgió entre 2021 y 2022. Básicamente te bombardean con múltiples solicitudes de autenticación como notificaciones, porque están intentando iniciar sesión o restablecer una contraseña repetidas veces.
Lo que pretenden con esta “intensidad” es saturarte hasta que aceptes la macabra solicitud por error, por cansancio o simplemente para que dejen de molestarte. Toda una exquisita sofisticación psicológica, ¿no? Eso sí: ojo, porque a Uber lo hackearon así en 2022.
Se sabe que el grupo criminal se llama Medusa, que opera desde Rusia o alguno de sus estados aliados, que actúa en la dark web, y que ejerce a través de un software llamado RaaS (ransomware-as-a-service).
RaaS es un software fabricado por desarrolladores maliciosos y vendido a otros delincuentes cibernéticos como Medusa, que, una vez se afilian, pueden usarlo para atacar sin piedad y sin necesidad de tener conocimientos técnicos profundos: simplemente pagan una comisión a los creadores sobre los rescates que logran obtener.
No hay que negar que el “negocito ciberilícito” se expande y se “democratiza” de manera inmediata, permitiendo que más atacantes extorsionen a más organizaciones con demandas de rescate para liberar los datos e información que han “secuestrado”.
Increíble: Medusa le ofreció a Joe hasta el 25% del dinero del rescate de los “datos secuestrados” (sería un secreto entre ambos), a cambio de que les entregara todos los accesos a su laptop, les dejara instalar el software malicioso e ingresara a los sistemas de la BBC para luego extorsionar a la corporación. Incluso, le prometieron depositarle 0.5 bitcoin como “prueba de confianza” (qué buena onda), si entraba a un enlace de reclutamiento de Medusa, un foro exclusivo de cibercrimen, instándolo a iniciar el proceso.
Joe le siguió el juego a los delincuentes durante tres días: quería saber cómo funcionaba su modus operandi. Pero cuando empezó a frenar la conversación, comenzó el infierno, el bombardeo de notificaciones de autenticación en dos pasos a su celular.
Afortunadamente, Joe informó a tiempo al equipo de BBC InfoSec, que “lo desconectó” por completo de todos sus accesos para evitar una catástrofe.
Lo más curioso del caso es que los hackers pidieron disculpas (qué considerados), insistieron en que el trato seguía sobre la mesa y luego desaparecieron de la faz de la tierra, sin dejar rastro para poder localizarlos.
Si Joe hubiese aceptado entregar toda la información de su empresa, seguramente la BBC habría tenido que pagar decenas de millones de libras por el rescate de toda su información. Y eso que las autoridades de ciberseguridad estadounidenses ya habían advertido que, en los cuatro años desde 2022, Medusa ha hackeado a más de 300 víctimas.
Quién creería que en el tema de avances tecnológicos, los ciberdelincuentes no se quedarían atrás, al contrario, evolucionan constantemente…y hasta apoyando en la IA.
Hoy fue mi amigo periodista; mañana puede ser un chavo de tu empresa que ponga en riesgo la organización, brindando contraseñas, información confidencial y quién sabe qué otros secretos a cambio de dinero. Solo queda confiar en los valores y la ética de esos colaboradores, mientras esperamos si la policía o los investigadores de ciberataques hacen algo… si es que lo hacen.
