Escucha este artículo
Audio generado con IA de Google
0:00
/
0:00
¿Qué pensaría si le contáramos que tres millones y medio de dólares desaparecieron sin que alguien vulnerara el sistema de seguridad de una empresa? Que bastó con un correo aparentemente convincente, redactado con información pública y enviado en el momento “indicado”. ¿Lo cree posible?
Pues este fue el caso de Children’s Healthcare of Atlanta, donde un ataque por medio de un correo empresarial “explotó” los datos disponibles en línea para suplantar identidades y redirigir pagos de la compañía.
Aunque no lo crea, el punto débil de una empresa no está en los discos duros de sus computadores. En realidad, viaja por todo internet en forma de datos que aparentemente no son tan “importantes”. Datos como los de sus empleados.
¿Por qué?
Cuando un trabajador comparte logros profesionales, como los cargos recién asumidos, sus proyectos en desarrollo, los viajes ejecutivos o las posibles alianzas estratégicas, lo hace con fines legítimos. Puede ser por posicionamiento profesional, por mejorar su reputación corporativa, por ampliar su capacidad de networking o simplemente por celebrar algún sueño cumplido. Pero cuidado, porque esa misma información puede convertirse en insumo estratégico para los ladrones.
Sobre esto, la compañía de ciberseguridad ESET advierte que el fenómeno del oversharing —compartir en exceso información laboral en entornos digitales— amplía el margen de maniobra de los ataques delincuenciales.
A esto debemos sumarle la creciente sofisticación tecnológica que atravesamos hoy en día. La inteligencia artificial permite automatizar la recopilación de datos públicos y redactar mensajes prácticamente indistinguibles de comunicados reales. Además, los deepfakes (audios o videos manipulados) le abren paso a un gran “menú” de posibilidades para engañar.
Pero si esto le parece un poco catastrófico, no vayamos tan lejos...
Por ejemplo, LinkedIn funciona como un mapa organizacional abierto. Quienes tienen una cuenta activa, además de actualizar constantemente su perfil, hacen públicas sus responsabilidades, jerarquías y relaciones internas. Para un atacante, identificar quién trabaja en finanzas, quién administra sistemas, en qué lugar se mueve, cuánto tiempo lleva en un cargo o quién acaba de ingresar puede marcar la diferencia en un “fraude exitoso”.
La lógica detrás de estos ataques es muy simple. Primero se recopilan datos y, luego, esa información se utiliza para diseñar una mentira creíble. Como lo explica Martina López, investigadora de Seguridad Informática de ESET Latinoamérica, el objetivo puede ser inducir a la víctima a instalar un malware, compartir sus credenciales corporativas o incluso autorizar transferencias bancarias fraudulentas mediante “esquemas de compromiso de correo empresarial” (BEC).
Un solo clic, inocentemente, puede abrirle la puerta a un verdadero caos.
Incluso, si no hablamos de redes vinculadas al mundo laboral, las publicaciones en Instagram o X que anuncian viajes o participaciones en eventos pueden convertirse en ventanas de oportunidad: no es coincidencia que los ciberdelincuentes logren identificar los momentos en que un ejecutivo está ocupado o fuera de la oficina, en donde le será más difícil dar instrucciones urgentes o solucionar problemas.
¿Cómo prevenir una estafa de este estilo?
Primero, se recomienda reforzar la educación interna en la ciberseguridad de cada empresa para que los empleados comprendan qué tipo de información puede resultar sensible. También, establecer políticas sobre lo que se puede y no se puede compartir (sin que esto, por supuesto, vulnere o censure la libertad de expresión), diferenciar cuentas personales de perfiles corporativos y revisar periódicamente los sitios web institucionales para eliminar datos y correos innecesarios o sospechosos.
Muchas empresas optan por técnicas como la autenticación multifactorial (o en varios pasos), el uso de contraseñas complejas y la supervisión de cuentas públicas. Incluso los ejercicios de “equipo rojo”, como los denomina ESET, en los que se simulan ataques internos, pueden ayudar a medir el nivel de concienciación del personal y qué tan preparados están para enfrentarlos.
Aunque quisiéramos que el panorama no nos obligara a pensar en ello, compartir de más puede convertirse en el primer eslabón de una cadena de fraude. Hoy en día, si un dato está disponible en línea, es razonable asumir que también puede estar en manos de un ciberdelincuente.
Y usted, ¿sería capaz de identificar los riesgos? ¿Qué mecanismos utiliza para protegerse de los engaños digitales? Lo leemos en los comentarios.
👽👽👽 ¿Ya está enterado de las últimas noticias de tecnología? Lo invitamos a visitar nuestra sección en El Espectador.