Poco se sabe hasta ahora, pero el Buró Federal de Investigaciones (FBI) fue vulnerado hace unos días en uno de sus sistemas. El 12 de noviembre pasado, alguien había logrado tener acceso abusando de un código inseguro en el portal del FBI usado para poder compartir información con las autoridades locales y federales en los Estados Unidos. Desde el sistema pudo enviar miles de correos electrónicos con una alerta falsa sobre un ciberataque, por lo que parece, el atacante solo quería exponer la rivalidad que tiene un especialista de ciberseguridad.
El FBI, lanzó un comunicado que ha estado actualizando, explicando que el equipo afectado se ha retirado de su infraestructura y que estará haciendo una investigación al respecto. Vaya, lo que haría cualquier organización como parte de su plan de crisis.
Inmediatamente, al compartirse la noticia, algunos en las redes sociales expresaban: “Si eso le pasó al FBI, qué nos depara a nosotros”.
Síguenos en Google Noticias para mantenerte siempre informado
Tratando de explicarlo, era un sistema que tenía una vulnerabilidad y que probablemente no era considerado crítico que permitió el envío masivo de correos. Fue usado por alguien que rápidamente se supo sus intenciones, muchas veces los atacantes pueden estar por meses dentro de la infraestructura sin que alguien sepa. No fue este el caso.
Les fue muy barato, pudo ser peor: acceso a todos los correos de las agencias locales y federales, el envío de un correo que no pareciera una “broma”, sino algo que pudiera afectar a otros.
Como lo he hecho en varias ocasiones con esta columna, ¿qué podemos aprender de esto para nuestra organización?
El correo electrónico ha dejado de ser ese sistema simple de comunicación, ahora podemos encontrar mucha información no solo de la empresa sino personal. Puede contener un archivo adjunto que a manos de alguien más puede afectar a la organización y a nosotros mismos.
¿Ya nos tienes en Facebook? Danos like y recibe la mejor información
Aún así, muchas empresas no protegen el correo electrónico ni piensan en el riesgo que esto conlleva. No entienden que este sistema puede ser la puerta para muchos otros: el tener acceso al correo electrónico permite recuperar contraseñas de otros sistemas, el mismo usuario y contraseña se usa en otras plataformas.
Es claro que algunas nuevas amenazas como la “Estafa del CEO” o el “Compromiso de Correo Corporativo (BEC)” eso buscan: obtener un beneficio sobre una plataforma que no es valorada como principal dentro de la organización.
Basta con pensar qué hay dentro de nuestro buzón de correo para empezar a asustarse, más cuando alguien hace preguntas como: ¿Y hay datos personales dentro de los buzones de correo de la empresa?
Esos correos con datos de clientes o colaboradores que podrían ser vulnerados ante las leyes de protección de datos personales.
Sigue la información sobre los negocios y la actualidad en Forbes México
Y hay muchas formas de protegerse, pero pocas veces se ven esas opciones. Se busca en muchos de los casos privilegiar el costo.
En los últimos meses he podido atender muchos incidentes de ciberseguridad que iniciaron por el correo: un archivo adjunto, un correo simulando ser un alto funcionario, un correo simulando ser un proveedor o un aliado tecnológico. Todos se pudieron evitar con un par de controles y configuraciones.
Es un muy buen momento para preguntar a las áreas técnicas el estado de protección de los servidores de correo electrónico y cómo nos protegemos contra estos riesgos. Activar temas tan sencillos como la doble autenticación y herramientas para evitar que alguien suplante nuestra identidad por medio de correos electrónicos.
Pero también, es momento de pensar qué información tenemos en los buzones de correo electrónico y si es necesario guardar todo. Como lo hemos compartido antes, entre más tenga, más tengo que protegerlo.
Si le pasó al FBI, también le puede pasar a su organización.
Contacto:
Correo: [email protected]
Linked In: https://www.linkedin.com/in/andresvelazquez/
Las opiniones expresadas son sólo responsabilidad de sus autores y son completamente independientes de la postura y la línea editorial de Forbes México.
