¡Cuando sentirse un experto te hace bajar demasiado la guardia!
Jugando con fuego te quemas.
Suena a la clásica advertencia de la abuela, pero eso es exactamente lo que puede ocurrir si uno se acerca demasiado a la tecnología y a la inteligencia artificial en particular sin la debida precaución. Además, ser un experto en tecnología puede no ser suficiente para mantenernos a salvo de sorpresas desagradables. Al contrario, a veces el exceso de confianza juega malas pasadas aún más inesperadas.
Esto es lo que le ocurrió a un empleado de Disney, Matthew Van Andel, apodado por muchos el Holandés, un tipo muy serio con un gran interés por la tecnología y el campo de lainteligencia artificial, que fue despedido después de que el ordenador de su empresa se viera comprometido tras la instalación de una herramienta de inteligencia artificial no autorizada.
¿Qué ha pasado?
El incidente se remonta a julio de 2024, cuando Van Andel, que era una especie de director de tecnología de nivel medio de Disney, provocó inadvertidamente una grave violación de los datos de la empresa al descargar una herramienta de generación de imágenes de IA de GitHub, un sitio web propiedad de Microsoft muy popular entre los desarrolladores de software.
Aunque el software parecía inofensivo, contenía un infostealer malware que comprometió su ordenador durante un periodo de cinco meses. También permitió a los hackers acceder al gestor de contraseñas 1Contraseña de Van Andel, robando así sus credenciales y permitiendo el acceso a los sistemas internos de Disney.
Con las credenciales robadas, los ciberdelincuentes pudieron acceder a una amplia gama de datos sensibles de los sistemas de la empresa. Entre los datos filtrados había información de clientes, números de pasaporte de empleados y detalles financieros relacionados con los parques temáticos y los servicios de streaming de Disney.
El departamento de seguridad informática de Disney detectó la intrusión durante una comprobación rutinaria de los registros del sistema, identificando tráfico sospechoso procedente del puesto de trabajo del empleado. En ese momento, se inició una investigación interna que reconstruyó la cadena de acontecimientos, vinculando el ataque hacker a la instalación del software no autorizado.
Disney aisló inmediatamente el ordenador comprometido, cortó todo el acceso del empleado a los sistemas de la empresa e inició protocolos de contención para limitar los daños. Tras completar la investigación, la empresa decidió proceder al despido del empleado, al considerar que la violación de las políticas de seguridad informática era una infracción grave que había puesto en peligro toda la infraestructura de la empresa.
Además, el accidente no se detuvo en las consecuencias para la empresa, sino que comprometió la vida personal de la víctima.
De hecho, Van Andel se dio cuenta de que le habían pirateado cuando, un día de julio de 2024, recibió un mensaje que hacía referencia a una comida de negocios que había tenido lugar el día anterior, con detalles concretos que sólo conocerían los presentes en la comida. Al mismo tiempo, le ocurrían cosas extrañas en sus cuentas bancarias, tarjetas de crédito y otros aspectos de su vida privada que Matthew se veía publicando en Internet, como en la peor de las pesadillas.
Implicaciones para la seguridad de las empresas
Este incidente pone de relieve, una vez más, la creciente amenaza que suponen los ciberataques selectivos que utilizan programas aparentemente legítimos como caballos de Troya. Las herramientas de inteligencia artificial son especialmente atractivas como cebo, ya que prometen ganancias sustanciales de eficiencia y son percibidas como tecnologías de vanguardia por muchos profesionales deseosos de seguir siendo competitivos.
Las grandes empresas como Disney son objetivos especialmente codiciados por los ciberdelincuentes debido al valor de los datos que poseen. La propiedad intelectual de películas aún no estrenadas, proyectos en desarrollo o estrategias de marketing puede valer millones de dólares en el mercado negro. Por eso, estas organizaciones invierten mucho en sistemas y procedimientos de seguridad.
El caso pone de relieve el difícil equilibrio que las empresas tienen que encontrar entre fomentar la innovación y mantener seguros sus activos digitales. Aunque las empresas reconocen el valor de las herramientas de inteligencia artificial para mejorar la productividad y la creatividad, y a menudo incentivan a los empleados para que las utilicen, son muy conscientes de que estas mismas herramientas, si no se evalúan y protegen adecuadamente, pueden suponer un riesgo importante.
La prevención adecuada
Las continuas actualizaciones de la tecnología subrayan la importancia de un enfoque integral de la ciberseguridad que vaya más allá de las meras barreras tecnológicas. El incidente de Disney pone de relieve una vez más la vulnerabilidad del factor humano. El objetivo, aunque se sienta cómodo con la tecnología, como en el caso de Matthew Van Andel, puede ser víctima de un ataque precisamente porque, al ser humano, seguirá teniendo un punto débil que los delincuentes podrán vulnerar.
Por tanto, la formación de los empleados es hoy un activo en el que se ha convertido en obligatorio invertir si quieres salvaguardar tu empresa de este tipo de incidentes. Pero no toda la formación es igual, y la elección de la plataforma de formación adecuada puede marcar una diferencia sustancial.
El objetivo es construir una sólida cultura de la seguridad sin ahogar la innovación empresarial, que también es necesaria. Por tanto, la única forma es elegir el método de formación adecuado, que reúna todos estos elementos y garantice una actualización progresiva sobre las continuas innovaciones tecnológicas mediante herramientas divertidas y atractivas, orientadas a las necesidades personales y, sobre todo, que garanticen ejercicios prácticos. De hecho, los empleados deben estar siempre formados para interceptar un posible ataque y bloquearlo antes de que pueda causar daños.
