Hackear a quien lo sabe todo del cliente

 

La semana pasada abordamos en este espacio cómo las operadoras de telefonía alardean de vanguardistas en cuanto a innovación y, sin embargo, obvian ésta cuando se trata de compensar al cliente por su deficiente servicio. Una de estas tecnologías son las soluciones CRM (Customer Relationship Management), con las que las empresas de cualquier sector gestionan la relación con sus clientes para sacar más provecho de ellos. Se trata de aplicaciones, cada vez más convertidas en plataformas, que reúnen la mayor cantidad de información de los clientes para adelantarse a sus consultas y problemas, generarles nuevas necesidades y venderles más. Pues bien, estas plataformas se han convertido en un tesoro de datos personales para los ciberdelincuentes y cada vez con más frecuencia las atacan.

La compañía Workday, especializada en el desarrollo de soluciones de gestión de Recursos Humanos (RRHH) en la nube, ha sido una de las últimas víctimas de estos ataques. Parece mentira que en casa de herrero, cuchillo de palo, pero basta remitirse al comunicado de la propia compañía para constatarlo. En él, la multinacional reconoce haber sido víctima de “una campaña de ingeniería social” gracias a la cual “los cibercriminales pudieron acceder a información de nuestra plataforma CRM externa”. La intrusión no parece haber ido más allá de hacerse con información comercial de los clientes de Workday, tales como nombres, direcciones de correo electrónico y números de teléfono, pero suficiente para reunir material para futuras estafas.  

¿Cómo funcionan estas campañas de ingeniería social? Tal y como explica Workday, “los cibercriminales contactan con los empleados por mensaje de texto o por teléfono haciéndose pasar por personal de RRHH o del departamento de Tecnologías de la Información (TI)”. De este modo, consiguen que los empleados revelen sus claves de  acceso a sus cuentas o su información personal.

Workday no es una excepción. La aseguradora Allianz Life (filial del gigante alemán Allianz) es otra de las que el pasado mes de julio notificó oficialmente haber sido víctima de otro ataque similar. En este caso, la compañía no fue capaz de averiguar ni cuántos de sus 1,4 millones de clientes se vieron afectados ni a qué información accedieron los cibercriminales.

Este tipo de ataques se está convirtiendo en tendencia, tal y como ya advirtió en junio el Grupo de Inteligencia de Amenazas de Google (GTIG), cuando reveló estar investigando al grupo criminal UNC6040 que estaría lanzando campañas de phishing de voz (vishing) diseñadas específicamente para comprometer las soluciones de Salesforce. ¿Y a qué se dedica Salesforce? A desarrollar una de las soluciones CRM más implantadas del mercado.

El modus operandi es idéntico: suplantación de identidad como personal de soporte de TI para hacerse con las credenciales confidenciales que, en última instancia facilita, permite robar datos de la plataforma Salesforce. No se trata de una vulnerabilidad de Salesforce; en realidad, la vulnerabilidad son los propios empleados, que son engañados con estas técnicas de ingeniería social. La propia Salesforce ha advertido de estos ataques, haciendo un llamamiento a elevar la alerta y extremar la precaución. En su comunicado, Salesforce comparte una serie de recomendaciones técnicas para fortalecer la ciberseguridad.

Una de las mayores virtudes que han ido logrando los sistemas CRM a lo largo del tiempo se ha convertido en el mayor atractivo para los grupos cibercriminales: centralizar toda la información del cliente. Todavía son muchas las empresas que tienen desperdigados los datos de sus clientes en diferentes aplicaciones que manejan las áreas de marketing, ventas, soporte…, contribuyendo a duplicidades de datos, desactualizaciones, ineficiencias…

Sin embargo, las últimas soluciones de CRM rompen con esos silos de información para proporcionar, tal y como rezan sus argumentarios de marketing, “una visión 360º del cliente”. Esto quiere decir, también manejando su lenguaje de ventas, que ponen a disposición “una única fuente de la verdad”, lo que hablando en plata es que toda la información del cliente se encuentra en un único punto accesible para todo el que lo precise y, claro está, cumpla con las políticas de seguridad establecidas.

En un único repositorio es posible encontrar todos los datos de un cliente, desde los personales de contacto a los de facturación, pasando por su historial completo de compras, suscripciones, incidencias abiertas y resueltas, comunicaciones personalizadas, etc. No resulta difícil imaginar el bocado jugoso que representa esta información para cualquier ciberdelincuente que, tal y como vemos, han optado por abrir la brecha de seguridad atacando el eslabón más débil: las personas.

Quebrar la ciberseguridad informáticamente es mucho más complejo que engañar a un empleado, con la ventaja añadida de que la ingeniería social facilita que el robo de información pase más desapercibido. Por este motivo, todas las empresas, independientemente de sus dimensiones y facturación, deberían acometer formaciones periódicas en materia de ciberseguridad, algo que lamentablemente no resulta muy habitual.

(Artículo en Público)