Así es como un hacker logró robar casi $1.5MDD a Warner Bros

Los incidentes de seguridad informática contra servicios de terceros cuentan con potencial suficiente para afectar a otras compañías. Warner Bros ha acusado a una firma contable de negligencia; acorde a los reportes, el conglomerado de medios y entretenimiento afirma que la compañía contable permitió que un cibercriminal desviara 1.3 millones de dólares a una cuenta desconocida.

La firma involucrada es Dan Schwartz CPA, con sede en Nueva York. Warner Bros ya ha presentado una demanda en un tribunal federal de White Plains.

Según la demanda, “la firma contable no contaba con los medios para asegurar sus redes, sistemas o servidores de correo en caso de incidentes de seguridad informática, quedando expuesta a acceso no autorizado y hacking”. El gigante de los medios afirma que sus correos electrónicos fueron expuestos, por lo que los actores de amenazas lograron acceder a información financiera de la compañía.

A principios de 2019, Warner Bros adquirió Entertainment Merchandise NY (EMNY), para la que Schwartz ya prestaba servicios contables. En la demanda, los representantes de Warner mencionan que la compañía decidió seguir contratando los servicios de contabilidad de Schwartz, al menos de forma temporal.

Poco después, un actor de amenazas no identificado logró acceder a las redes o sistemas de email de Schwartz, mediante una dirección IP ubicada fuera de territorio americano. Acorde a la demanda, el hacker detectó un intercambio de correos con información financiera de ambas partes, además de encontrar información sobre un fondo de ahorros de EMNY, el cual pasó a ser propiedad de Warner después de la compra.

Warner autorizó a Schwartz a transferir los activos del fondo de ahorros a otra cuenta en Bank of America. El hacker detectó la conversación y, mediante el envío de mensajes de phishing, engañó al personal de Schwartz para que transfiriera el dinero a otra cuenta en Wells Fargo. El fondo de ahorros consistía en 1.3 millones de dólares; acorde a Warner Bros, la firma contable no verificó la procedencia del email malicioso ni confirmó la solicitud de la transferencia, lo que facilitó que se completara la estafa.

Acorde a una firma de seguridad informática, Warner también presentó una demanda contra Schwartz por incumplimiento de contrato, además del primer cargo por negligencia.  El Instituto Internacional de Seguridad Cibernética (IICS) menciona que la transacción no ha podido ser rastreada, por lo que la investigación sigue en curso con el objetivo de descartar la posible participación de algún miembro del personal de Schwartz en la estafa.