Cómo hicieron los hackers para robar $ 2.5 MDD al gobierno de Puerto Rico con un simple email de phishing

Los cibercriminales no siempre deben utilizar complejas herramientas de software o sofisticadas campañas de fraude para engañar a las víctimas, en ocasiones sólo bastan unos cuantos datos y el envío de algunos correos electrónicos. Acorde a especialistas en seguridad en redes, el gobierno de Puerto Rico perdió alrededor de 2.5 millones de dólares después de que un empleado público fuera víctima de una estafa de phishing.

Rubén Rivera, director de finanzas de la Compañía de Desarrollo Industrial de Puerto Rico, mencionó en una conferencia de prensa que los actores de amenazas engañaron a un funcionario para que realizara una transferencia bancaria a una cuenta fraudulenta. El incidente ya ha sido notificado a las autoridades.

Rivera menciona que esta agencia gubernamental realizó la transferencia de dinero el pasado 17 de enero, en respuesta a un email informando sobre un supuesto cambio en una cuenta bancaria relacionada con el pago de remesas. Por otra parte, Manuel Laboy, directivo de la agencia, menciona que su equipo de seguridad en redes detectó el fraude hasta hace algunos días; el reporte incluso ha llegado a los funcionarios del FBI.

Para concluir, Laboy mencionó que la investigación interna ya está en curso, pues el gobierno de Puerto Rico pretende auditar la seguridad en redes de la agencia y determinar si hubo alguna omisión en la agencia que facilitó la labor de los hackers. Los directivos de la agencia defraudada se abstuvieron de comentar detalles adicionales sobre el incidente de phishing, como el cargo del funcionario objetivo del ataque o el impacto interno del fraude. Además, el gobierno de Puerto Rico espera que la agencia federal logre rastrear la cuenta fraudulenta y recuperar el dinero.

Acorde al Instituto Internacional de Seguridad Cibernética (IICS), las campañas de phishing siguen siendo una de las principales variantes de ataque empleadas por los hackers gracias a su bajo costo y efectividad. Recientemente, el FBI publicó su informe anual sobre delitos en Internet, en el que se menciona que la agencia recibió casi 500 mil denuncias por cibercrímenes durante 2019. Del total de denuncias, más de 100 mil están relacionadas con ataques de phishing y otras variantes de fraude por correo electrónico.