Cartero, ingeniero, limpiador: ¿Se cuelan hackers en su oficina?

¿Sabe realmente quién entra en su edificio de oficinas? «Si llevas uniforme, la gente no te cuestiona», explica a ‘Euronews’ Daniel Dilks, experto en seguridad.

Cuando pensamos en un ciberataque, la mayoría nos imaginamos al clásico hacker: un hombre con capucha, encorvado sobre su ordenador, accediendo a distancia a la red de una empresa. Pero no siempre es así.

A pesar de los mostradores de seguridad de las oficinas, es fácil disfrazarse y entrar sin más, explica a ‘Euronews’ un formador en ciberseguridad. «Mucha gente, cuando ve un chaleco reflectante, piensa: ‘Oh, esta persona es un ingeniero’ o algo así, y entonces simplemente le deja pasar».

Aunque todos somos conscientes de los ciberataques y de la creciente amenaza que suponen para las empresas -especialmente a la luz de los recientes ataques a Pandora, Chanel, Adidas y Victoria’s Secret-, la mayoría de nosotros subestimamos considerablemente las formas físicas en que pueden vulnerarse nuestras defensas.

Se prevé que el gasto mundial en ciberseguridad alcance los 213.000 millones de dólares (183.000 millones de euros) en 2025, frente a los 193.000 millones de dólares (166.000 millones de euros) de 2024, según los últimos datos de Gartner, Inc. A pesar de ello, según el índice de preparación para la ciberseguridad 2025 de Cisco, sólo el 4% de las organizaciones de todo el mundo están plenamente preparadas para las amenazas modernas.

Según los expertos en seguridad Sentinel Intelligence, la seguridad física es un punto ciego crítico en nuestras defensas, y las consecuencias de ignorar este vector de ataque pueden ser desastrosas.

La primera línea física de la seguridad digital

Se calcula que la amenaza cibernética global en Europa costará 10 billones de euros en 2025 y no hará más que crecer, según una entrevista reciente con la empresa de software Splunk.

En cuanto a los ciberataques físicos, la amenaza es real y peligrosa, como muestra el Informe Mundial de Seguridad 2023. Según la investigación, las grandes empresas mundiales, es decir, aquellas con unos ingresos combinados de 20 billones de dólares, registraron pérdidas de ingresos de 1 billón de dólares (860.000 millones de euros) durante 2022, causadas directamente por incidentes de seguridad física.

Esto podría significar que un pirata informático accediera a su edificio de oficinas para atacar su infraestructura digital.

Las pruebas de penetración son un servicio común, encargado por los líderes empresariales para poner a prueba sus defensas internas. Si usted trabaja en una gran oficina, es probable que haya ocurrido a su alrededor, sin que ni siquiera lo sepa.

‘Euronews Business’ habló con Daniel Dilks, director de operaciones de Sentinel Intelligence, para saber exactamente en qué han consistido algunas de sus pruebas recientes.

Caso 1: Violación de accesos en una sede corporativa

«Los agentes de Sentinel, vestidos con ropa de negocios, entraron en el edificio siguiendo al personal durante las horas punta de la mañana, llevando tarjetas de identificación falsas y una bolsa de ordenador portátil para pasar desapercibidos. Una vez dentro, localizaron una sala de reuniones no segura, se conectaron a la Wi-Fi de invitados y dejaron un dispositivo fraudulento (un implante de red)», explicó Dilks a ‘Euronews’.

Caso 2: Forzamiento de cerraduras y exposición de datos fuera del horario laboral

«Fuera del horario de trabajo, los examinadores accedieron forzando una cerradura eurocilíndrica estándar en la puerta lateral. Una vez dentro, accedieron a un archivador sin llave que contenía contratos impresos de clientes y contraseñas. No se activó ninguna alarma», explicó Dilks.

Y para un delincuente, una vez que ha descubierto cómo entrar en un edificio, puede hacerlo potencialmente en numerosas ocasiones, cada vez recopilando más información o causando más daños.

Caso 3: Ingeniería social y simulación de robo de credenciales

«Un operario se hizo pasar por contratista del sistema de calefacción y ventilación del edificio. Tras entrar con un chaleco reflectante y una orden de trabajo falsa, el individuo fue escoltado a una sala de servidores por el personal, que creía que la visita estaba programada. Mientras estaba dentro, fotografió las credenciales expuestas y conectó un ‘dropbox’ USB a una estación de trabajo«, añadió, explicando que es habitual que los probadores de penetración dejen bolígrafos USB esparcidos por las oficinas.

Muchos trabajadores, con la esperanza de ser útiles, los conectan a sus ordenadores para ver a quién pertenecen. En un escenario de ataque real, esto podría introducir malware directamente en la red de la empresa.

En todos estos ejemplos, las deficientes medidas de seguridad física, la reticencia a desafiar o verificar a personas desconocidas y cometer errores básicos como escribir contraseñas en notas adhesivas podrían acarrear graves consecuencias.

¿Cuáles son las consecuencias de un ciberataque?

Aunque es difícil desglosar el coste exacto de una violación de la seguridad, los ataques tienen consecuencias a corto y largo plazo para una empresa. Están los costes directos iniciales, que podrían estar relacionados con daños físicos.

«Alguien consigue entrar y sabotea tu sistema, básicamente lo destroza, ¿verdad? Así que hay un coste directo para el equipo«, explica el experto en ciberseguridad. «Pero si el daño al equipo significa que no puedes funcionar durante varios días, eso es pérdida de negocio. Y a veces, cuando un cliente no puede localizarte varias veces, puede decidir irse a otro sitio».

El experto explicó que las consecuencias pueden intensificarse rápidamente si los datos se borran y las copias de seguridad no funcionan, y añadió que las organizaciones pueden desmoronarse sin sus sistemas. Los costes indirectos también podrían tener ramificaciones duraderas.

«Digamos que alguien roba los datos y luego hay propiedad intelectual o documentos confidenciales que se filtran. ¿Cuál es el coste para la organización? Hay un coste de reputación, pueden perder contratos cuando los clientes pierden la confianza en ellos». Las empresas también pueden ser multadas por este tipo de violaciones de datos.

Vectores de ataque sorprendentes

El experto en ciberseguridad compartió algunas formas especialmente sorprendentes en las que los delincuentes han pirateado los sistemas de las empresas en los últimos años. «Hubo un caso en un casino de Estados Unidos en el que los atacantes consiguieron acceder a la red, pero no directamente a través de la parte principal de la red, sino a través de un dispositivo de regulación de agua en un acuario que estaba conectado al sistema».

Y aunque no todos tengamos acuarios en nuestras casas y oficinas, los dispositivos inteligentes también pueden ser vulnerables. «Cuando aparecieron los hervidores inteligentes, la comunidad de seguridad se interesó mucho», explica el experto.

«Si vas a una conferencia de ciberseguridad, a veces verás una demostración en la que hackean un hervidor y luego extraen la contraseña WiFi, y luego usan el pasaporte WiFi para luego entrar en una red, y muchas cosas pueden convertirse en una bola de nieve a partir de ahí» Si diriges una empresa, merece la pena identificar todas las formas posibles en las que podrías ser atacado.

Aun así, el experto subraya que, aunque hay que ser precavidos, eso no significa que haya que ser grosero o poco amable con los desconocidos en el lugar de trabajo por miedo. «Sólo hay que ser precavidos y estar atentos. No necesitamos cambiar nuestra naturaleza y ser poco amables con todo el mundo, pero sí ser conscientes de que hay gente malintencionada ahí fuera.»

Fuente:es.euronews.com