¿Para qué romper el cifrado si basta con pedirlo? Resultado: 6 millones de personas bajo vigilancia
Ciberatacantes acceden a la plataforma Salesforce del operador Odido tras un ataque de phishing e ingeniería socia
Los delincuentes que obtuvieron acceso a los datos de clientes del operador neerlandés Odido no penetraron en el sistema mediante un ataque complejo, sino aprovechando a empleados habituales del soporte. Engañaron para obtener contraseñas mediante correos de phishing, y luego convencieron a los trabajadores de confirmar manualmente el inicio de sesión en las cuentas.
Según los datos de fuentes de NOS, primero los atacantes enviaron correos a los empleados y obtuvieron sus contraseñas. Después llamaron a las víctimas y se hicieron pasar por personal del departamento de TI de la empresa. Durante la conversación lograron que los empleados aprobaran un intento de inicio de sesión sospechoso. Así consiguieron eludir la comprobación de seguridad adicional.
De este modo se comprometieron varias cuentas de trabajo. Tras obtener acceso, los atacantes comenzaron a guardar automáticamente datos de clientes desde el sistema interno. Se trata de una recolección masiva de información mediante un programa que recorre páginas y copia el contenido.
Una fuente familiarizada con la investigación considera que es poco probable que lograran descargar toda la base de datos por completo. Una extracción completa de datos habría llevado mucho tiempo. No obstante, por ahora no se puede descartar totalmente esa posibilidad. El especialista en seguridad informática Seimen Ruvhof explicó que con este tipo de ataque normalmente se necesitan días para recopilar todos los registros, y durante ese tiempo las acciones deben pasar inadvertidas. El escenario descrito es un ejemplo clásico de ingeniería social, que permite eludir incluso la autenticación multifactor.
La compañía avisó a alrededor de 6,2 millones de personas —tanto clientes actuales como antiguos— de que sus datos podrían haber llegado a manos de terceros. Odido ya informó del incidente a la autoridad neerlandesa de protección de datos. El envío de notificaciones a los usuarios continúa y puede tardar hasta dos días.
Presuntamente atacaron las cuentas de empleados de centros de llamadas en el extranjero, a los que el operador recurre bajo contrato. El acceso se realizó a través del sistema de gestión de datos de clientes Salesforce, donde se guarda la información de los abonados. La filtración también afectó a clientes de la marca filial Ben, que opera con contratos sin tarifa a largo plazo.