Crónica de hackers.
Al escuchar hacker seguramente nos remontamos a las imágenes de películas como Swordfish, Matrix o Misión Imposible, en las que los efectos especiales, los autos deportivos y la adrenalina nos podrían hacer desear esas vidas llenas de acción.
La realidad es mucho más cotidiana. Un hacker puede verse reflejado en cualquiera, desde niños con mediano conocimiento de internet hasta verdaderos genios de la programación, la electrónica y el engaño. Sin embargo, el hacker por oficio, además de contar con grandes habilidades técnicas, suele ser curioso, paciente, metódico, inteligente, creativo y muy efectivo.
Cuando un hacker está decidido a hacer daño a una compañía no habrá poder humano o tecnológico que lo detenga. Lo que sí podemos hacer es minimizar el impacto de estos ataques y dificultarle el trabajo esperando que desista.
Hace medio año buscábamos una forma de medir qué tan preparados estamos como colaboradores ante un ataque cibernético común y decidimos llevar a cabo un ejercicio real de “hackeo” en la empresa. Enviamos un correo electrónico que incitaba a registrarse en un portal de entretenimiento con la posibilidad de ganar premios: simulamos un ataque de “Phishing”.
Para ser sincero, el ataque simulado no salió como lo planeé. Entre otras cosas, nunca pensé que Outlook alertara al usuario ante la posibilidad de que un correo sea malicioso.
Pensé que mi esfuerzo por identificar qué tan vulnerables somos a estos ataques y, de paso, las ganas de llevar a la práctica mis conocimientos de “hackeo” se iban por la alcantarilla. Sin embargo, al cabo de dos semanas más de cien colaboradores se conectaron al sitio divulgando información sensible.
Con esta información ingresé a seis cuentas de hotmail y tomé el control total de tres máquinas de la empresa con las que podría hacer de todo, desde enviar correos con sus cuentas, borrar carpetas y copiar archivos, hasta infectar a toda la red.
Habrá que darle gracias a Dios que estamos en el mismo corral, porque un verdadero hacker no pararía ahí sino que iniciaría una serie de ataques derivados que hubieran sido devastadores para la empresa
El hecho de que somos propensos a estos ataques no es todo lo que me preocupa, ya que más de la mitad de los colaboradores conectados al sitio usan contraseñas débiles que pueden ser descifradas en minutos. Y como si esto no fuera suficiente, el dar clic a ligas contenidas en correos electrónicos puede llevarnos a sitios que aprovechan las vulnerabilidades de los navegadores para infectar equipos e instalar troyanos.
La moraleja es que aún cuando la tecnología en la empresa para prevenir estos ataques es cada día mejor, nuestra gente nos hace muy vulnerables. Necesitamos tomar conciencia, adoptar las mejores prácticas de seguridad y comprometernos de fondo con la empresa cuidando su información y sus sistemas.
