En el mundo moderno, donde la tecnología y el internet están entrelazados con nuestras vidas cotidianas, nos encontramos inmersos en una red interconectada que ha revolucionado la forma en que vivimos. Sin embargo, este progreso digital también ha dado paso a un desafío creciente: la ciberdelincuencia.
En el año 2022, el Internet Crime Complaint Center (IC3) recibió una cifra preocupante de 800,944 informes de fraudes informáticos, con pérdidas estimadas que superaron los 10,200 millones de dólares. Este problema no es exclusivo de personas comunes; incluso las empresas de renombre, como MGM Resorts International y Caesars Entertainment, se han convertido en víctimas de ciberataques en este mismo mes de septiembre.
El caso de MGM Resorts International es especialmente revelador. Un ataque informático devastador el 7 de septiembre de este año dejó sus sistemas fuera de línea durante diez días, causando pérdidas significativas en sus proyecciones de ganancias para ese período. Además de las repercusiones económicas, la seguridad de la información privada también se vio comprometida.
La ciberdelincuencia no es un fenómeno nuevo, ha existido desde los primeros días de la adopción generalizada de internet. A lo largo del tiempo, expertos en ciberseguridad han desarrollado una serie de avances para combatir estos ataques, como la encriptación de datos, protocolos seguros de intercambio de información y la creación de entidades oficiales para la certificación de identidades, entre otros.
No obstante, un antiguo dicho en el campo de la seguridad nos recuerda que "la seguridad de un sistema es tan fuerte como el eslabón más débil". Esto significa que, incluso si individuos y organizaciones mantienen sus estándares de seguridad actualizados, siempre existe la posibilidad de que los atacantes se dirijan directamente a las personas y viceversa.
Los ataques más comunes dirigidos a las personas caen en varias categorías, siendo el phishing y la ingeniería social los más notorios. El phishing implica la suplantación de la identidad de una persona o entidad conocida para obtener información confidencial y comprometer sistemas internos. Los atacantes pueden aprovechar herramientas cotidianas como correos electrónicos, llamadas telefónicas, redes sociales y sitios web para llevar a cabo estos engaños.
Por otro lado, la ingeniería social se basa en explotar la tendencia humana a priorizar la facilidad de memorización sobre la seguridad de las contraseñas. Mediante información pública disponible en redes sociales o interacciones breves, los atacantes pueden obtener pistas para descifrar las contraseñas de las víctimas.
Hace dos años, Electronic Arts fue víctima de un ataque de ransomware que amenazaba con publicar el código fuente de la popular franquicia de videojuegos FIFA. Este ataque, como una auténtica "bomba de tiempo", se originó a partir de la compra de cookies de navegación robadas, probablemente obtenidas mediante phishing. Con esta información, los atacantes lograron acceder a los canales internos de EA. Afortunadamente, en este caso, no se comprometió información personal o financiera, sino únicamente los repositorios del juego FIFA, utilizados como prueba de la amenaza, y posteriormente, 780 GB de datos pertenecientes a otros proyectos de la empresa que aparecieron a la venta en la dark web una vez que EA se negó a pagar la extorsión.
Este mismo año, Riot Games, otra empresa de videojuegos, también sufrió un ataque similar. Según informaron en sus redes sociales, el ataque se basó en ingeniería social. Al igual que en el caso de EA, solo se vio comprometido el código fuente, apareciendo a la venta en la dark web, sin que se registraran pérdidas económicas ni de información confidencial. No obstante, el código fuente, aunque no tan crítico como otro tipo de información confidencial, sigue siendo un activo valioso. Estos incidentes son preocupantes, ya que podrían allanar el camino para futuras vulneraciones de sistemas y socavar la experiencia de los usuarios, especialmente si se utilizan para crear trampas que desequilibran la jugabilidad o abran la puerta a ataques potenciales en el futuro.
Incluso las organizaciones gubernamentales no están exentas de estos problemas. El 12 de septiembre de este año, el proveedor de servicios de computación IFX fue comprometido, lo que afectó a múltiples sistemas que utilizan este proveedor, incluyendo varias entidades estatales en América Latina, incluida Colombia. Se especula que los atacantes pudieron implantar ransomware a través de una puerta abierta, agravando aún más la situación debido a la falta de buenas prácticas de respaldo de datos, lo que resultó en que los respaldos también se vieran comprometidos. Si bien estos ataques no recaen directamente en la responsabilidad de los gobiernos y empresas que utilizaban este proveedor, demuestran que no se puede confiar ciegamente en terceros, ya que estos pueden convertirse en el eslabón más débil.
Estos ejemplos son solo la punta del iceberg en el mundo de los fraudes informáticos. A medida que nuestra sociedad continúa avanzando hacia la digitalización, la conciencia y las medidas de seguridad cibernética se vuelven más cruciales que nunca. La lucha contra la ciberdelincuencia es una batalla constante que todos debemos abrazar para proteger nuestros activos digitales y nuestra privacidad en un mundo cada vez más conectado. En última instancia, la seguridad de nuestra red digital depende de la fortaleza de su eslabón más débil, y es responsabilidad de cada uno de nosotros fortalecer ese eslabón para proteger nuestro mundo digital en constante evolución.
Si deseas tener siempre a la mano el artículo escrito por Julián Castañeda, te invitamos a descargarlo, compartirlo y comentarnos qué opinas al respecto.
REFERENCIAS
https://www.ic3.gov/Media/PDF/AnnualReport/2022_IC3Report.pdf
https://www.businessinsider.com/mgm-resorts-casino-caesars-palace-cyberattack-hack-las-vegas-2023-9
https://www.vice.com/en/article/7kvkqb/how-ea-games-was-hacked-slack
https://therecord.media/hackers-leak-full-ea-data-after-failed-extortion-attempt
https://es-us.finanzas.yahoo.com/noticias/fans-super-mario-hackean-proveedor-224600031.html