Los secretos del ejército por $10: las debilidades personales de los empleados expusieron sistemas confidenciales

Miles de millones de dólares, tecnologías de vanguardia y los protocolos de seguridad más estrictos no protegieron a las estructuras militares y corporaciones de defensa estadounidenses de un cibercrimen elemental.

Un estudio de Hudson Rock revela que decenas de empleados de los mayores contratistas militares, incluidos Lockheed Martin, Boeing y Honeywell, así como militares del ejército y la marina de EE.UU., fueron infectados con infostealers. Sus credenciales, sesiones VPN, correos electrónicos e incluso accesos a sistemas cerrados de adquisiciones ahora están en manos de ciberdelincuentes.

Basta con descargar accidentalmente un archivo infectado —una modificación de un juego, un programa pirateado o un documento PDF con malware— para que el infostealer se instale en el ordenador. Una vez activo, recopila todo: contraseñas, historial de navegación y archivos del ordenador de trabajo. Luego, estos datos se venden en la darknet. El precio promedio por acceso total al ordenador de un empleado de un contratista militar con información confidencial es de solo $10.

Este tipo de ataques ha demostrado ser extremadamente efectivo. Según Hudson Rock, en los últimos años más de 30 millones de ordenadores han sido infectados. De ellos, alrededor del 20% contenían cuentas corporativas, incluidas aquellas de empresas que trabajan con la seguridad nacional de EE.UU.

Los cookies de sesión activos representan un riesgo especialmente grave, ya que permiten a los atacantes acceder instantáneamente a sistemas protegidos sin necesidad de ingresar credenciales. Incluso la autenticación multifactor (MFA) es inútil si los delincuentes obtienen acceso a una sesión activa.

El caso de Honeywell muestra la magnitud del problema. Desde 2024, a 398 empleados de la compañía les han robado 56 credenciales corporativas, incluyendo accesos a sistemas internos como SAP, Bitbucket y SharePoint. También se filtraron credenciales de servicios externos como Microsoft, Cisco y SAP. No solo Honeywell está en peligro, sino también sus socios, Anduril, SpaceX y Palantir, ya que los ciberdelincuentes pueden penetrar su infraestructura a través de la cadena de suministro.

Pero la verdadera amenaza va más allá de las empresas privadas. Entre los afectados hay militares de la Marina de EE.UU., cuyo acceso a sistemas como Citrix, OWA, Confluence e incluso plataformas de entrenamiento militar ha caído en manos de los atacantes. Esto abre la puerta a ataques contra infraestructuras militares críticas. Los expertos advierten que, si estos datos caen en manos de países hostiles, podrían usarse para infiltrarse profundamente en la infraestructura militar.

Listado de empresas infectadas (Hudson Rock)

Las principales medidas de protección incluyen:

• Prohibición del uso de dispositivos personales para el trabajo: muchas infecciones ocurren a través de ordenadores utilizados tanto para tareas personales como laborales;
• Política estricta de descargas de software: solo se debe utilizar software con licencia;
• Autenticación multinivel con monitoreo constante de sesiones: si se roban cookies de sesión, deben anularse de inmediato;
• Monitoreo constante de filtraciones en la darknet: las empresas deben rastrear las filtraciones de datos de sus empleados.

Hudson Rock advierte que los infostealers ya no son solo una herramienta de hackers, sino una amenaza a la seguridad nacional. Incluso empresas y organizaciones con altos estándares de ciberseguridad se convierten en víctimas debido a la vulnerabilidad de sus contratistas y socios. La pregunta no es si se pueden prevenir las filtraciones, sino qué tan rápido se pueden detectar y neutralizar.