Rolls-Royce, Shell, Boeing o Fidelity son algunas de las compañías que el año pasado denunciaron haber sido víctimas de espionaje industrial en sus ordenadores. Aunque muy pocas lo reconocen, su número aumenta, como demuestra un estudio de la empresa española de peritaje informático Recovery Labs: en 2007, el 20% de sus clientes sufrieron casos de ciberespionaje, un 18% más que el año anterior.

No fue difícil para el atacante conocer los gustos de la secretaria del director general: participaba en diversas redes sociales donde aireaba su vida personal, los nombres de sus amigos o aficiones como aquella casi adicción a los zapatos caros. Después de meses de investigación cibernética de los empleados clave de la compañía, el atacante había descubierto su Talón de Aquiles.

Creó un programa troyano a medida para superar los controles de seguridad de la red corporativa. Lo mandó por correo electrónico a la secretaria, dentro de un adjunto en PDF que supuestamente le enviaba una amiga: el catálogo de verano de una marca de calzado. La secretaria lo abrió y el troyano se activó en silencio. A través de él, el atacante tomó el control del ordenador del director general.

Los detalles son ficticios, pero esta historia ha sido real para más de una empresa, explica David Barroso, director de la unidad E-crime de S21sec: “Son casos de virtuosismo por parte del atacante, pueden llevarle meses de investigación, pero cada vez proliferan más. Los troyanos se suelen mandar en documentos PDF, Powerpoint, Word o Excel, que un directivo no espera que le infecten”.

Es parte de un muy interesante artículo de Mercè Molist para VSantivirus

También te puede interesar

• dreaMTouch: Pantallas táctiles de código abierto
• ¿Se puede romper el cifrado RSA de 1024 bits?
• Facebook tendrá que revelar el código fuente de la plataforma
• Vulnerabilidad crítica en todos los Windows de 32 bits
• Robots capaces de manipular átomos