Hackers accedieron al correo de un ejecutivo de una bolsa global durante 150 días sin ser detectados
Un grupo de hackers mantuvo acceso al correo de un ejecutivo senior de una bolsa de valores global durante 150 días, exfiltrando datos durante meses antes de ser detectado. El caso ilustra cómo el espionaje corporativo opera en silencio y el tiempo que pasa entre la intrusión y el descubrimiento.
Contexto
Un grupo de hackers comprometió el correo electrónico de un ejecutivo senior de una bolsa de valores global y mantuvo ese acceso durante 150 días, exfiltrando información durante meses. La intrusión fue clasificada como una operación de espionaje: el objetivo era información estratégica, no dinero ni sabotaje.
150 días de acceso al correo de un ejecutivo equivale a leer toda la correspondencia, negociaciones, decisiones internas y estrategias de una organización durante cinco meses. Sin que nadie en la organización lo sepa.
Impacto potencial
Para personas
El impacto en individuos es bajo fuera del contexto de organizaciones en sectores de alto valor como servicios financieros, energía o gobierno.
Para organizaciones
El correo de un ejecutivo senior contiene decisiones estratégicas, negociaciones, posturas ante reguladores, y comunicaciones con socios y clientes. 150 días de acceso silencioso equivalen a una ventaja de inteligencia competitiva o regulatoria para quien tiene la información.
El sector financiero en México —bolsa, bancos, fondos de inversión— entra en el perfil de objetivo de este tipo de operaciones.
Perspectiva GRC
El tiempo de detección en este caso fue de al menos 150 días. El promedio global de dwell time —tiempo que un atacante permanece en un sistema antes de ser detectado— es de aproximadamente 21 días en los mejores casos, pero puede extenderse a meses en organizaciones sin monitoreo activo.
La pregunta de gobernanza: si alguien tuviera acceso al correo de tu director general ahora mismo, ¿en cuánto tiempo lo detectarías?
Recomendaciones
Para personas
Las cuentas de ejecutivos senior deben tener controles adicionales: doble factor de autenticación obligatorio, alertas de inicio de sesión desde ubicaciones inusuales, y revisión periódica de dispositivos autorizados.
Para organizaciones
Las cuentas de correo de alta jerarquía son objetivos prioritarios. Revisar si tienen controles de acceso diferenciados respecto al resto de la organización. Un incidente de correo corporativo que tarda meses en detectarse es una señal de que no existe monitoreo de comportamiento anómalo en esas cuentas.
El espionaje corporativo no siempre llega con señales de alerta. Llega en silencio, se queda en silencio, y sale en silencio. La lección permanente: la detección de intrusiones requiere saber qué es normal para poder identificar qué no lo es. Sin visibilidad sobre el comportamiento esperado de las cuentas críticas, el tiempo de detección se mide en meses, no en horas.
Leer fuente original →