Hackers chinos prueban que humanos son el eslabón más débil en ciberseguridad

Algunas de las empresas más grandes de los Estados Unidos continúan siendo vulnerables a uno de los trucos de piratería más viejos que existen, según la formulación de cargos contra cinco oficiales militares chinos acusados de robar secretos empresariales.

La táctica común, llamada suplantación de identidades con objetivos específicos ("spearphishing"), fue utilizada para acceder a redes informáticas de empresas como United States Steel y Alcoa , según el Departamento de Justicia estadounidense, que presentó los cargos.

Enviando a los empleados correos electrónicos falsos bajo la apariencia de mensajes oficiales, los hackers pudieron engañarlos de manera que divulgaran sus nombres de usuario, contraseñas y otra información sensible.

Los cargos, que efectivamente acusan a China y su gobierno de utilizar ciberespionaje para robar tecnología, exponen lo que sigue siendo un agujero enorme para muchas empresas: sus propios trabajadores.

Pese a que las empresas de seguridad informática se benefician con un gasto récord en tecnologías para evitar ataques pirata, las personas terminan siendo el eslabón más débil en dichos ataques, según Dmitri Alperovitch, director de tecnología en CrowdStrik, una firma de ciberseguridad en Irvine, California.

"No se apunta a la vulnerabilidad de la computadora –se apunta a la vulnerabilidad de los humanos", estimó Alperovitch.

"No es un problema como el cáncer, en el cual se puede llegar a un punto final y declarar que se ganó", acotó.

Si bien la industria de la seguridad informática se apresta a superar ingresos por US$85.000 millones en 2016 –casi 70% más altos que al comienzo de la década-, según Gartner.

Esto de poco servirá si los atacantes logran apuntar a empresas y empleados con ataques de suplantación de identidades.


Pérdidas anuales

Las pérdidas anuales derivadas del ciber-delito, el robo de propiedad intelectual a empresas y otros costos podrían llegar hasta US$400.000 millones, según el Centro de Estudios Internacionales y Estratégicos y McAfee, una empresa de Intel.

En 2013, hubo 450.000 ataques de suplantación de identidad y las pérdidas que generaron alcanzaron un récord de US$5.900 millones, según EMC Corp.

La formulación de cargos, revelada en el Tribunal de Distrito de Pensilvania, alega que los oficiales chinos conspiraron para robar secretos empresariales y otra información de empresas estadounidenses especializadas en paneles solares, metales y centrales nucleares eléctricas de nueva generación y en la imputación, se mencionó a Westinghouse Electric y Allegheny Technologies y la Unión Internacional de Trabajadores Aliados de Acereras, Papeleras y Forestación, Caucho, Industria, Energía y Servicios Industriales.

La suplantación de identidades específicas, una versión de los ataques tradicionales a correos electrónicos en masa, es conocida desde hace tiempo como una vulnerabilidad flagrante.

En 2011, RSA Security, una unidad de EMC, fue pirateada de esa manera, exponiendo una campaña de contratación.

Un ejecutivo de Coca-Cola Co. abrió un mensaje de suplantación de identidades específicas en 2012, lo que permitió a los hackers ganar acceso a documentos internos.

En Alcoa, alrededor de 19 empleados recibieron un correo electrónico aparentemente de un miembro del consejo de administración, Carlos Ghosn, que también es máximo responsable ejecutivo de Nissan Motor Co. Al abrir un adjunto del mensaje, se liberó un virus que penetró en la red de Alcoa.

Si bien Ghosn no fue directamente identificado en la formulación de cargos, el documento se refiere a un director con las iniciales "C.G.".

Ghosn era en aquel momento el único integrante del consejo de administración que encajaba en esos parámetros.