Los contenedores de reciclaje de la oficina, las unidades USB, los ordenadores no vigilados, los perfiles de las redes sociales. Estos son algunos de los posibles puntos débiles que los hackers podrían utilizar para dañar a las pequeñas empresas. El experto en ciberseguridad de ESET, Jake Moore, sale regularmente e investiga estos peligros ocultos de los que las PYMES podrían no ser conscientes: he aquí algunas de sus experiencias.
El desecho de un hombre es para otro un tesoro
¿Por qué deberías preocuparte por lo que los empleados tiran a los cubos de basura de la oficina? Porque podrían estar poniendo en peligro valiosos datos personales y de la empresa. "Millones de personas tiran información sensible cada día, y los delincuentes son muy conscientes de ello", dice Jake. Incluso las notas de los paquetes deberían destruirse con una trituradora, ya que a menudo incluyen las direcciones de los domicilios, así como las direcciones de correo electrónico y los números de teléfono.
Basándose en la información personal, los hackers pueden manipular fácilmente a los empleados. "Por ejemplo, con el número de teléfono y el recibo de lo que una persona acaba de comprar, podrían llamar o enviar un mensaje de texto a un empleado con una actualización del producto adquirido. Además, podrían pedirles que visitaran sitios web de phishing u otras estafas que podrían inducirle a entregar más información, como contraseñas o datos de tarjetas de pago", añade Jake. Finalmente, los ciberdelincuentes podrían incluso acceder a las cuentas de compra y adquirir artículos con las tarjetas almacenadas, incluso las de la empresa.
Cuando el exceso de confianza conduce a los ciberataques
Agosto de 2021 - Jake Moore, vestido como ayudante de productor de televisión, llega a un pequeño pero destacado club de golf del Reino Unido. El personal le deja entrar sin cuestionar su identidad ni pedirle una identificación. Le dejan solo con la mayoría de los dispositivos de la empresa. Los empleados le permiten incluso insertar una memoria USB en los dispositivos, que ,para horror de Jake, aún funcionan con el anticuado Windows XP. Así, en pocos minutos, Jake obtiene acceso a toda la red de la empresa. Y como él mismo describe: "Con acceso a la contraseña del Wi-Fi, a los puertos USB e incluso a las máquinas sin supervisión, podría haber completado cualquier hazaña que se me ocurriera, desde instalar un troyano de acceso remoto o keyloggers en las máquinas, hasta colocar otro malware, como un ransomware, en la red para exigir un pago para descifrar los datos". Una auténtica delicia de hacker.
HackedIn a través de LinkedIn
Si quieres establecer una red de contactos profesionales, tener un perfil en LinkedIn es casi una obligación, pero por mucho que te preocupes por tu presentación en línea, también deberías preocuparte por la ciberseguridad. Las redes sociales pueden convertirse en otra amenaza potencial y son un gran canal para los ciberdelincuentes. Un ejemplo que lo dice todo: mientras trabajaba como consultor de seguridad, Jake intentó sonsacar datos personales cruciales al director general de una pequeña empresa de Dorset, y LinkedIn fue su primera opción. Creó un perfil falso y envió una solicitud al asistente personal del CEO, que fue aceptada inmediatamente.
Sin verificar realmente la identidad del perfil, el asistente comenzó a comunicarse con Jake y aceptó rodar un reportaje sobre la empresa. A continuación, Jake envió un cuestionario creíble en el que pedía los datos personales del director general, que el jefe de la empresa rellenó de buen grado. Después, el asistente envió todo el material a Jake. Y así, sin más, Jake (y posiblemente cualquier hacker) recibía información de seguridad crucial, que podía ser fácilmente utilizada de forma indebida.
Cuanto más conectados estamos, más puntos de contacto digitales aparecen. Los ciberdelincuentes aprovechan sus habilidades para entrar en tu negocio, y apuestan por la ingenuidad, la veracidad o la cortesía de su objetivo. Sin embargo, en el entorno digital, más que en cualquier otro lugar, siempre es necesario mirar antes de saltar o hacer clic, en este caso.