¿Para qué hackear el sistema si puedes sobornar al administrador? Hackers abren la temporada de caza contra empleados corporativos
El alcance del problema quedó claro tras analizar plataformas que comercian con la lealtad ajena.
En el entorno del cibercrimen está aumentando rápidamente el interés por la contratación de empleados dentro de las empresas. En lugar de ataques complejos desde el exterior, los atacantes apuestan cada vez más por fuentes internas: personas dispuestas, a cambio de dinero, a proporcionar acceso a sistemas corporativos o filtrar información confidencial. Esta tendencia ya ha afectado a bancos, casas de cambio de criptomonedas, empresas de telecomunicaciones y tecnológicas.
Según Check Point, en foros clandestinos aparecen regularmente anuncios con propuestas de colaboración. Algunos están redactados en tono neutral, otros intentan apelar a las emociones, prometiendo librarse de la rutina y altos ingresos. La retribución por la ayuda varía desde varios miles de dólares por un servicio puntual hasta sumas de seis cifras por una colaboración prolongada. Se trata de acceso a sistemas internos, restablecimiento de contraseñas, transferencia de bases de datos u otra información útil para ataques.
El sector financiero sigue siendo un objetivo clave. En la darknet se encuentran ofertas dirigidas a empleados de exchanges como Coinbase, Binance, Kraken y Gemini, así como a trabajadores de grandes bancos y de las autoridades fiscales. Por proporcionar el historial de transacciones o acceso administrativo, los delincuentes están dispuestos a pagar decenas de miles de dólares. También se venden bases de datos listas para usar: una de ellas, que contiene información de 37 millones de usuarios, está valorada en 25.000 dólares.
Las empresas tecnológicas también están bajo ataque. La información almacenada en la nube y los datos de clientes suscitan un interés especial. En los foros se registran solicitudes dirigidas a empleados de Apple, Samsung y Xiaomi, así como al personal de operadores de telecomunicaciones, empresas de logística y consultores de TI. Un ámbito aparte lo constituyen los ataques de sustitución de tarjetas SIM, que requieren la ayuda de empleados de operadores móviles.
En algunos casos se ofrece no una colaboración puntual, sino un formato de trabajo remoto permanente con pago fijo. Estos esquemas pueden durar semanas e incluir tareas de transferencia de información, borrado de rastros o desactivación de sistemas de defensa. A veces también se recurre a los llamados intermediarios de acceso, que actúan a través de Telegram y otras plataformas cerradas. Allí también se busca pentesters dispuestos a usar sus conocimientos en beneficio de los operadores de ransomware.
La situación se agrava por el anonimato de los pagos. Gracias a las criptomonedas, los participantes en estos esquemas pueden permanecer fuera del alcance de los reguladores y las transacciones son difíciles de rastrear. Para las empresas, esto significa no solo pérdidas directas, sino también riesgos de daño reputacional, interrupciones de los procesos de negocio y problemas para cumplir con las obligaciones legales.
Para protegerse de esta amenaza, las organizaciones deben combinar medidas tecnológicas con gestión del personal. Esto incluye aumentar la concienciación sobre los posibles riesgos, el monitoreo regular de la actividad de los empleados, la restricción del acceso a sistemas críticos y el análisis constante de los foros y plataformas clandestinas en busca de menciones a la empresa. Solo la preparación continua y la atención al detalle permiten minimizar los riesgos asociados a las amenazas internas.