El ataque no fue una vulnerabilidad directa en el código de Locky, sino un proceso de credential stuffing. Los criminales utilizaron combinaciones de usuario y contraseña filtradas en otros sitios para intentar entrar en las cuentas de Locky.
Esto demuestra que el eslabón más débil sigue siendo la reutilización de contraseñas por parte de los empleados. Una vez que el atacante tiene el nombre, el email y el teléfono de una persona, el siguiente paso es inevitable: un ataque de Spear Phishing personalizado que llegará directamente a la bandeja de entrada corporativa.
Cuando se filtra un millón de registros, el nivel de realismo de los correos fraudulentos aumenta drásticamente. Los empleados recibirán mensajes que incluyen su nombre real y referencias a servicios que utilizan habitualmente. Los firewalls técnicos no pueden detener un clic basado en la confianza.
La única defensa real es transformar la cultura de seguridad. No basta con informar sobre el ataque; es necesario entrenar el "reflejo" del usuario para que desconfíe de cualquier comunicación, incluso si parece legítima.
En Sinfopac creemos que la formación tradicional ha fallado porque es aburrida y puntual. Para combatir amenazas derivadas de filtraciones como la de Locky, implementamos Guardey.
Es el método de concienciación que utiliza la gamificación para que sus empleados aprendan a detectar estas amenazas en solo 3 minutos a la semana. Al entrenar con simulaciones basadas en casos reales, su equipo se convierte en un firewall humano capaz de identificar ese email de phishing que parece venir de un servicio de mensajería o logística.
¿Su organización puede demostrar hoy que sus colaboradores detectarían un ataque basado en datos reales filtrados?
Se trata de un acceso no autorizado a la base de datos de los casilleros Locky en Portugal mediante la técnica de credential stuffing, afectando a más de un millón de usuarios.
Los datos expuestos incluyen nombres completos, direcciones de correo electrónico, números de teléfono y contraseñas cifradas.
Es una técnica donde los atacantes usan listas de usuarios y contraseñas obtenidas en filtraciones previas para intentar acceder de forma masiva a otros servicios.
Los datos robados permiten a los criminales crear ataques de phishing mucho más personalizados (Spear Phishing) dirigidos a sus empleados.
El riesgo principal es la ingeniería social. Los atacantes usan la información real del usuario para engañarlo y que revele credenciales corporativas.
Es fundamental monitorear si los emails corporativos han sido parte de filtraciones y reforzar el uso de MFA (Autenticación Multifactor).
Porque suelen ser genéricas. Los ataques reales, como los derivados del caso Locky, usan datos específicos que las simulaciones básicas no replican.
Normativas como NIS2, ISO 27001 y la LOPDP en Ecuador exigen evidencias de entrenamiento continuo a los empleados.
Guardey entrena a los empleados mediante gamificación para reconocer patrones de engaño en tiempo real, reduciendo la probabilidad de éxito de un ciberataque.
Los estudios indican que el micro-aprendizaje semanal (3 minutos) tiene una retención de conocimiento mucho mayor que las sesiones anuales o mensuales.
Desde 1954 ofrecemos un servicio integral y personalizado a empresas de todos los tamaños. Esto nos ha permitido expandir las operaciones desde España hacia América Latina y África para ayudar a nuestros clientes en sus operaciones ofreciéndoles soluciones innovadoras y vanguardistas.
