¿Qué tienen en común General Motors, Microsoft, DuPont y la
empresa brasilera petrolera Petrobras? Todas las citadas empresas, que son muy
conocidas, y en el caso de Microsoft, incluso es líder dentro de su sector de
tecnología, sin embargo han sido víctimas del espionaje corporativo. El tema
vuelve a estar de actualidad después de que el Gobierno de los Estados Unidos
acusara a seis ciudadanos de nacionalidad china de cometer espionaje
corporativo. Según la acusación, se les atribuye a los seis nacionales chinos
el robó de información relacionada con la propiedad intelectual de dos empresas
que desarrollan tecnología en sistemas militares. A continuación, vamos a ver
de lo que se trata el espionaje corporativo, dada la severidad de la amenaza
que supone al sector corporativo.
El espionaje corporativo podría definirse como el acto de
espiar a las empresas con el objetivo de conseguir datos estrictamente
confidenciales e importantes y utilizarlos para una variedad de intereses
creados. Así mismo, puede ser realizado por empresas a sus competidores y
también puede ser llevado a cabo por agencias de inteligencia a empresas como
es en el caso de Petrobras, la gigante petrolera de Brasil, cuyas
comunicaciones internas fueron intervenidas por la NSA, la Agencia de Seguridad
Nacional de los Estados Unidos.
En cuestiones del espionaje en ambientes corporativos, se
usan varias tácticas de manipulación a las que conjuntamente se les llama
Ingeniera Social. La Ingeniera Social se podría dividir en dos categorías.
La Ingeniera Social basada en humanos: Este tipo de
Ingeniera Social también es conocido como el hackeo humano porque se utilizan
"habilidades sociales" para conseguir información sensible. Usando
una serie de argucias y artimañas, el espía infiltrado a sueldo de la empresa
competidora trata de sonsacar información privilegiada a los responsables de la
empresa objeto del espionaje. A veces, un espía eficaz puede incluso valerse de
información que a simple vista parece no importante para llegar a descubrir los
secretos de la empresa. Es muy interesante observar como el espía suele ser el
último en que recaen las sospechas dado su aparente carácter inofensivo e
inocente.
La Ingeniera Social basada en computadoras, móviles y otros
equipos informáticos:
Phishing: Bajo esta modalidad, el pirata a sueldo del
competidor envía un correo en el que se hace pasar por el representante de una
empresa u organización gubernamental de prestigio y le pide al destinatario que
confirme alguna transacción bancaria o bien que resetee la contraseña o el
código pin. Al abrir el correo, se le dirige a la víctima a un sitio web
malicioso donde el pirata se hace con el control de su equipo y de los datos
guardados en el.
Spear Phishing: Los correos de Spear Phishing pueden ser de
varios tipos. Un método clásico consiste en que el pirata envía un correo a
algún personal de la empresa para informarle que se falló el envío de un
supuesto correo anterior (Nótese la referencia al intento fallido para dar más
credibilidad) y que por lo tanto se proporciona un link en el que debe dar un
clic. Al clicar sobre el link, el usuario cae en la trampa tendida y se
descargan troyanos que facilitan el acceso al equipo del usuario que a su vez
permite al pirata entrar en otros equipos y hacerse con los secretos
comerciales de la empresa.