Empleado de Redbanc víctima de ingeniería social en LinkedIn

Redbanc es una empresa de Chile que presta servicios de procesamiento de transacciones a los principales bancos de ese país, cumpliendo un rol sumamente importante en el sector económico.

Durante los últimos meses, se ha revelado que un trabajador del sector informático de la compañía fue víctima de un ataque de ingeniería social al recibir una propuesta laboral a través de la red social LinkedIn.

Esta información llegó a las manos del senador Felipe Harbour quien le ha reclamado un comunicado oficial a la empresa mediante Twitter.

“Me informan que a fines de diciembre @redbanc sufrió ataque informático a su red de interconexión bancaria. Sería bueno que la empresa transparentara magnitud, riesgos y medidas de control de tal ataque.” – Felipe Harboe (@felipeharboe) 8 de enero de 2019

Los atacantes simularon ser reclutadores que buscaban talentos para desempeñarse como desarrolladores. Una vez que la víctima se puso en contacto con ellos, pactaron una video-llamada vía Skype. Durante la reunión, los atacantes le enviaron un archivo denominado ‘ApplicationPDF.exe’ el cual la victima debía completar para finalizar la postulación. Esto último término ocurriendo, dentro de la red corporativa.

De no ser por los sistemas de seguridad implementados por la compañía, los atacantes hubieran podido acceder a la red interna y perjudicar a la entidad de múltiples maneras. Robo de información de clientes (PII), robo de información de tarjetas de crédito (PCI), denegación de servicio, deterioro de la imagen corporativa, pudieron ser algunas consecuencias si este ataque se realizaba con éxito.

 

¿Cómo es posible que los propios empleados de IT caigan en esta trampa?

Los cibercriminales utilizando una forma de ingeniería social conocida como phishing, que en este caso involucra un engaño por medio de acciones en redes sociales los cuales son difíciles de detectar para cualquier persona. Este tipo de ataques no requieren de grandes conocimientos técnicos (no se lleva a cabo un penetration test, al menos en la primera etapa).

Por más de que el empleado se desempeñe en el área de IT, tiene las mismas necesidades y debilidades que cualquier persona (aspiraciones, actuar con confianza, etc.). Se requiere de un clima de concientización en seguridad a nivel corporativo para disminuir la probabilidad de ocurrencia ante esta amenaza.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *