La ausencia de mecanismos de autenticación en algunas plataformas en línea puede representar serios problemas para sus usuarios. Expertos de un curso de hacking ético detallan cómo un empresario del condado de Volusia, Florida, fue víctima de una variante de fraude debido a las pocas medidas de seguridad en un sitio web gubernamental.
Blair Burk, propietario de Medical Facilities Construction Group, una compañía que construye y da servicio de mantenimiento a consultorios médicos, afirma que un hacker ingresó en los registros estatales de su empresa, modificando la información y eliminando su nombre de estos registros. “Este hombre entró y dijo que era el presidente de mi empresa. Ni siquiera puedo entender qué pasó”, menciona la víctima.
No obstante, el perfil de la empresa en la División de Corporaciones de Florida, encargada del registro oficial de compañías locales, menciona que el propietario es un individuo llamado Nicolas Carioti, originario del sur de Florida. Al parecer, alguien hackeó los registros oficiales, almacenados en Sunbiz.org: “Nunca pensé que alguien pudiera simplemente entrar al sistema y cambiar esta información”, agrega Burk.
Esto es en sí mismo algo muy grave, aunque los expertos del curso de hacking ético mencionan que faltaba lo peor. Después de consultar con los encargados de la plataforma, Burk descubrió que su información no estaba protegida con contraseñas o algún otro requerimiento de autenticación, por lo que cualquier usuario podría cambiar sus registros corporativos oficiales: “Es algo que está permitido, no hay nada que pueda evitarlo. Si le preguntas a los responsables dicen que lo lamentan, pero que sólo los legisladores pueden cambiar la situación”.
Burk sólo recibió una alerta del gobierno a través de su correo electrónico en la que se le informaba del cambio en los registros corporativos. El empresario teme que el individuo que modificó esta información trate de obtener un beneficio a costa de su compañía, como solicitar un préstamo bancario, redactar un contrato o alguna otra variante de fraude bancario.
Tommy Orndorf, experto de un curso de hacking ético, analizó lo ocurrido a Burk, mencionando que es posible realizar cambios en estos perfiles sin uso de contraseñas o cualquier otra forma de verificación: “Estas plataformas deben contar con algún mecanismo de verificación, no usar solo un correo electrónico”, menciona el especialista.
Al ser consultada al respecto, la División de Corporaciones de Florida mencionó que la queja de Burke ya había sido atendida y las fallas en su sitio web fueron corregidas. No obstante, el usuario afectado sigue temiendo la posibilidad de que alguien pueda infiltrarse en estos registros: “Tardé tres días en solucionar esto y no quiero volver a pasar por una situación similar”, concluye Burke.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad