Al finalizar el recuento de daños en la empresa que fue atacada, descubrimos afectaciones por casi 2.5 millones de dólares entre pérdidas económicas directas y mercancía perdida.

Por fines de seguridad, el nombre de la empresa afectada, de los individuos involucrados y las fechas han sido cambiados. Esta nota se publica con el consentimiento de todos ellos.

Todo comenzó un 20 de Marzo a las 7.00pm, cuando la abogada que dirige el área legal de “Industrias KMT”, Fátima, llamó a la oficina de manera urgente pidiendo por alguien que pudiera ayudarla a resolver un problema bastante grave. La descripción fue la siguiente:

“Acabamos de darnos cuenta de que hackearon las bases de datos con los precios de nuestros productos en línea y han cambiado el costo de todo lo que tenemos expuesto para compra, además llegaron notificaciones de trasferencias electrónicas desde nuestras cuentas a varias cuentas en el extranjero. Necesitamos ayuda rápido pues nuestro equipo de seguridad informática está en Cancún y no pueden apoyarnos del todo, estamos consiguiendo un vuelo privado para que vuelvan lo más pronto posible”

Inmediatamente iniciamos un protocolo de atención a incidentes junto con algunos aliados de negocio para ayudar a la empresa y pudimos frenar, tras varias horas, el ataque que habían sufrido, pudiendo calcular incluso los daños en un aproximado de 2.5 millones de dólares.

Todo parecía ser obra de un grupo de cibercriminales que habían encontrado una falla en el sistema, pero cuando analizamos todas las aristas del caso vimos que nos enfrentábamos a algo que nunca antes habíamos visto. Pocos investigadores de incidentes analizan el factor humano a fondo para determinar su participación y fue en este en donde nos dimos cuenta de o elaborado del ataque.

Durante poco menos de 3 meses, el personal clave de la organización había sido investigado, acosado y manipulado a voluntad; la empresa había sido atacada a través de ingeniería social y se había disminuido la capacidad de reacción de la organización de manera grave.

El modus operandi de los criminales fue distinto en esta ocasión y, tras 7 meses de investigación, podemos describirlo en las siguientes fases:

Etapa 1 – Estudio del terreno

En nuestra investigación, descubrimos 63 perfiles falsos en redes sociales de empresas, hombres y mujeres utilizados para conversar con personal de la organización y/o personas relacionadas bajo el siguiente esquema:

  1. En el caso del personal de seguridad informática: los perfiles habían agregado únicamente a sus familiares, como esposas (todos son varones), hijos y hermanos
  2. En el caso del personal de sistemas: los perfiles agregados eran familiares, como esposas (todos son varones), hijos y hermanos. En pocos casos agregaron al empleado mismo
  3. En el caso del personal de recursos humanos: los perfiles agregados eran los familiares anteriormente descritos, el propio personal y agregaban a empresas fantasma que ofrecían consejos del área en Facebook

Por correo electrónico, la empresa recibió cerca de un centenar de correos de clientes y empresas falsas que querían tener interacción comercial con KMT, solicitando información poco a poco en estas conversaciones para determinar la forma de trabajo de la empresa, los protocolos de venta, de atención a fraudes y hasta los horarios en que no había personal suficiente para atender las solicitudes.

Todo esto, pasó en solo 5 semanas.

Etapa 2 – Definición de objetivos

En esta etapa, los perfiles en redes sociales falsos comenzaron a interactuar con todos los objetivos mencionados anteriormente, creando una base de quienes podían ser útiles y dejando en el olvido a aquellos que no les servirían. Agregaron a un aproximado de 230 personas, de las cuales el 75% se convirtió en objetivo.

Durante esta etapa, comenzaron a recolectar información a través de todos los involucrados, haciéndose pasar por amigos de sus amigos o personas que querían entablar una amistad (esto sobre todo en el caso de los jóvenes).

Fotografías, estadísticas de los lugares que visitaban, estados de ánimo, usuarios de servicios en la nube, usuarios de cuentas de Android o iCloud, contraseñas y hasta conversaciones con otro tipo de tono, fueron algunos de los hallazgos que tuvimos al hacer nuestra investigación.

Tenían un mundo de información de KMT y sus empleados, misma que utilizaron para la Etapa 3.

Etapa 3 – Ataque psicológico y físico

Al finalizar la quinta semana vino la primera oleada del ataque: el desgaste psicológico.

Llamadas de extorsión, mensajes de amenazas sin sentido, cancelación de cuentas de banco, cancelación de números telefónicos, llamadas durante toda la madrugada a números personales y de casa, amenazas con el contenido que habían recibido y hasta provocación de problemas en la escuela de sus hijos induciéndolos a tener conductas malas se convirtieron en el día a día de las siguientes 2 semanas, siendo el principal objetivo la gente se sistemas y seguridad informática.

La gente llegaba agotada todos los días a la oficina, no tenían capacidad de reacción y no pudieron percatarse que había un par de notificaciones de sus herramientas que mencionaban intentos de intrusión a sus sistemas críticos.

Etapa 4 – Dispersión

Una de las empresas fantasma se había hecho pasar por agente de una importante marca de equipos informáticos al inicio de todo este “ataque” y le había ofrecido al área de seguridad asistir a un congreso de 3 días de capacitación en Cancún, ellos solo tendrían que pagar el vuelo y posteriormente enviar dicho comprobante para ser reembolsado en 60 días.

El personal de recursos humanos pensó que debía de ir la gente de seguridad pues habían sido bombardeados en redes sociales con mensajes sobre los riesgos informáticos existentes y lo importante que era capacitar a este tipo de áreas. Nunca pensaron que estaban siendo atacados en el mismo momento en que leían estos mensajes.

Etapa 5 – Ataque informático

El día del ataque a mediodía, el equipo de seguridad informática voló a Cancún y mientras se encontraban en pleno vuelo, comenzaron los problemas en KMT.

Primero atacaron diversos servicios que tenían de contacto con clientes, como el chat en línea y los formularios de contacto.

Después atacaron los servidores que contenían la base de datos de precios de los productos que se ofrecían en la tienda, cambiando los costos de todos ellos tan solo algunos pesos más baratos y colocando otros tantos en precios mucho más bajos.

Por último, tuvieron acceso a las máquinas del área de nóminas pues habían infectado algunos teléfonos de personal de esta área (¿recuerdan que pidieron esta información a los más pequeños de la casa? Muchos de ellos la conocían pues sus padres se las compartían para poder instalar juegos u otras aplicaciones) que eran conectados a las computadoras para cargarlos. Otros tantos cayeron desde días antes con correos que tenían malware en sus adjuntos, siendo algunos de ellos “comunicados internos” o boletines de empresas que querían ofrecer sus servicios.

El equipo de seguridad informática llegó al aeropuerto de Cancún y fue recogido para su traslado a uno de los mejores y más caros hoteles de la zona. Al llegar su sorpresa fue que debían pagar la habitación y, por supuesto, el traslado, ya que únicamente habían reservado las habitaciones con el mínimo requerido.

Sin dormir bien y teniendo que desembolsar dinero de sus bolsillos mientras aclaraban el problema con el hotel, emprendieron su vuelta al aeropuerto mientras se ponían a pensar en qué podían hacer para atender el problema.

Todo era parte de la estrategia de los delincuentes.

Etapa 6 – Desinformación

Una vez terminado el ataque, decenas de correos llegaron a varias cuentas personales y empresariales del personal de KMT, haciéndose pasar por cuentas oficiales de la organización, enviando información falsa sobre lo sucedido con correos como: “No podremos pagar la siguiente quincena de nómina, por lo que pedimos su comprensión”, “Habrá una junta general en X oficina el día Y a la hora Z” y muchos más.

Al final, la empresa pudo recuperarse y volver el orden a la organización, pero se dieron cuenta de lo sofisticados que se han vuelto los ataques ahora y de una realidad aún peor: nadie los había prevenido de esto.

Al término de esta nota, tenemos 2 casos más abiertos en la región con un modus operandi similar.

Bienvenidos a la era de la guerra psibernética contra las empresas