No respondas a ese "HR": cómo una oferta de empleo falsa puede provocar la filtración de secretos de Estado
A veces, un contrato lucrativo no es más que una trampa para los profesionales.
La escala de las ciberamenazas contra la industria de defensa está aumentando rápidamente y va mucho más allá de los ataques digitales a empresas individuales. Según datos de los analistas del Google Threat Intelligence Group, la presión sobre la base industrial de defensa se intensifica en varias direcciones — desde espionaje y hackeos dirigidos hasta operaciones de extorsión y ataques a las cadenas de suministro.
Los especialistas señalan un interés sostenido de diversos grupos estatales por los desarrolladores de tecnologías militares y aeroespaciales, así como por contratistas relacionados con sistemas no tripulados y medios de vigilancia. Los atacantes cada vez más optan por no comprometer directamente la infraestructura, sino por dirigirse a los empleados. Se utilizan páginas de contratación falsas, ofertas de trabajo ficticias, encuestas y formularios para candidatos. A través de esos esquemas se recopilan credenciales y se despliega software malicioso, y la actividad a menudo ocurre fuera de los sistemas de control corporativos.
Un área separada ha sido la infiltración a través de los procesos de selección de personal y del empleo remoto. Se han registrado campañas en las que técnicos de TI falsos se contrataban en organizaciones proveedoras y obtenían acceso a recursos internos. Parte de esas operaciones está vinculada a estructuras de Corea del Norte y apunta simultáneamente a la inteligencia y a la obtención de ingresos.
Una proporción notable de operaciones contra el sector de defensa sigue siendo llevada a cabo por grupos cibernéticos chinos. Emplean activamente vulnerabilidades del perímetro de red — puertas de enlace VPN, enrutadores y dispositivos de seguridad. Ese enfoque permite eludir las herramientas de detección en estaciones de trabajo y mantenerse en la infraestructura a largo plazo. En varias campañas los atacantes mantuvieron una presencia oculta durante más de un año, recopilando datos tecnológicos y de proyectos.
Grupos iraníes también emplean leyendas relacionadas con el personal. Crean portales de empleo falsos, servicios para elaborar currículos y para evaluar candidatos, orientados a trabajadores de las industrias aeroespacial y de defensa. Además, se recurre a la compromisión de contratistas y proveedores para avanzar dentro de las redes objetivo.
La cadena de suministro industrial sigue siendo un factor de riesgo importante. Las empresas manufactureras ocupan el primer lugar en el número de publicaciones en plataformas de filtraciones de datos relacionadas con ataques de extorsión. Incluso si la víctima no es un contratista de defensa de forma directa, su producción puede emplearse en proyectos militares, lo que genera un daño indirecto para todo el sector.
Los analistas subrayan que los atacantes con mayor frecuencia disfrazan sus operaciones como actividad comercial habitual y como interacción con el personal. Esto reduce la eficacia de las medidas de protección tradicionales y exige revisar los enfoques de monitoreo y verificación de los contactos externos.