El pasado 22 de enero, la Universidad de Virginia en Estados Unidos confirmó que hubo un acceso indebido a información de identificación personal que alojaban sus sistemas. Lo que permitió la fuga de datos fue una campaña de phishing que tuvo éxito al intentar que usuarios desprevenidos hicieran clic en un enlace engañoso.

Como resultado de la "extensiva" investigación del FBI, "sospechosos en el extranjero involucrados en este incidente están bajo custodia". El comunicado oficial de la Universidad, que emplea a más de 20 mil personas, informa:

En colaboración con el FBI, la Universidad confirmó que individuos no autorizados accedieron en forma ilegal a un componente de nuestro sistema de recursos humanos, exponiendo información de un grupo de empleados de la División Académica. [...]

El incidente es resultado de una estafa de correo electrónico de "phishing", a través de la cual los ejecutores pudieron obtener acceso al sistema de RRHH y a formularios W-2 de aproximadamente 1.400 empleados (para los años 2013 y 2014) y a la información de depósito bancario de 40 empleados.

Los formularios W-2 se usan en Estados Unidos para reportar los salarios pagados a los empleados y los impuestos retenidos a ellos.

Según se pudo determinar, el acceso indebido se produjo en noviembre de 2014 y se registró un último acceso en febrero de 2015. Desde el pasado 22 de enero, fecha en que concluyó la investigación, la institución comenzó a notificar a los empleados afectados, ofreciéndoles servicios gratuitos de protección de identidad a modo de compensación.

Hubo señales a las que la Universidad no prestó atención

Por otro lado, la Universidad se ocupó de aclarar que este incidente no está relacionado con el "sofisticado ciberataque" originado en China que afectó a los sistemas de IT en junio en 2015, ya que este último fue posterior.

Sin embargo, sí ha habido algunas señales a las que la Universidad de Virginia no prestó atención: varios empleados habían reportado casos de fraude fiscal y se determinó que eso no era indicativo de una brecha de datos. Pero esta última investigación del FBI sí sugiere que algunos de los casos podrían ser resultado de este incidente.

La importancia de educar al personal, otra vez de manifiesto

Este caso no hace más que mostrar nuevamente cómo la negligencia o la distracción de los empleados puede poner en peligro a toda una red corporativa. Aquí son miles los afectados cuya información personal y fiscal se filtró, y probablemente se podría haber evitado si el personal hubiera estado alerta para saber identificar correos falsos y engaños.

Lamentablemente el phishing, por más antiguo que sea, sigue siendo una puerta de entrada para los cibercriminales, que lo siguen encontrando efectivo para robar credenciales e información.

"Es críticamente importante que cada miembro de nuestra comunidad esté alerta de correos electrónicos sospechosos y otras comunicaciones que pidan información personal como nombres de usuario, contraseñas e información bancaria", advierte la Universidad.

Sigue leyendo: Guía del Empleado Seguro