Recientemente, el CEO de una firma de marketing muy exitosa tuvo su cuenta de Facebook hackeada. En solo un fin de semana, los hackers gastaron más de $250,000 en anuncios para su sitio de apuestas en línea a través de su cuenta y eliminaron al propietario legítimo como administrador, causando que la cuenta de Facebook de la empresa fuera cerrada.
No sólo no tenían seguro para este tipo de fraude, sino que se sorprendieron al descubrir que ni Facebook ni su banco ni la compañía de su tarjeta de crédito eran responsables de reemplazar los fondos. La “resolución” de Facebook fue que no se cometió fraude en su cuenta porque el hacker utilizó sus credenciales de inicio de sesión legítimas. Facebook no es responsable de garantizar que mantengas tus credenciales seguras y confidenciales. Además, no tenían el tipo específico de seguro contra delitos cibernéticos o fraude necesario para cubrir las pérdidas, por lo que deben asumir el 100% de los costos.
No sólo están perdiendo $250K, sino que también tienen que empezar de nuevo a construir sus audiencias en Facebook, lo que les tomó años construir. Todo este fiasco fácilmente les costará medio millón de dólares cuando se sume todo.
En otro incidente, otra empresa inició sesión en su cuenta para descubrir que todos sus anuncios estaban pausados. Inicialmente, pensaron que era un error en Facebook hasta que se dieron cuenta de que alguien había hackeado su cuenta, detenido todos sus anuncios legítimos y configurado 20 NUEVOS anuncios para su sitio de spam de pérdida de peso con un presupuesto de $143,000 por día, o $2.8 millones en total.
Debido a sus límites de gasto, los hackers no habrían cargado $2.8 millones; sin embargo, debido a los altos presupuestos establecidos, los algoritmos de Facebook comenzaron a ejecutar los anuncios rápidamente. Mientras pausaban las campañas, los hackers las habilitaban nuevamente en tiempo real. Después de un frenético juego de “Whac-A-Mole”, descubrieron y eliminaron la cuenta comprometida.
La cuenta comprometida era un usuario legítimo de la cuenta que había sido hackeado. Debido a esto, Facebook no reemplazaría los fondos perdidos y su cuenta fue cerrada, con todas las campañas eliminadas. Afortunadamente, estos chicos detectaron el hackeo temprano y actuaron rápidamente, limitando sus daños a aproximadamente $4,000, pero su cuenta no pudo ejecutar anuncios durante dos semanas, lo que les hizo perder ingresos. Estiman sus daños totales en el rango de $40,000 a $50,000.
Cuando muchas personas escuchan estas historias reales (con los nombres de las empresas ocultos para proteger su privacidad), insisten en que alguien más debería asumir la responsabilidad y cubrir las pérdidas. “¡No fue NUESTRA culpa!”, dicen. Sin embargo, la simple realidad es esta: si permites que tu cuenta de Facebook, o cualquier otra cuenta en línea, sea hackeada debido a contraseñas débiles o reutilizadas, no tener autenticación multifactor (MFA) activada, seguridad de correo electrónico inadecuada o malware infectando tus dispositivos debido a una ciberseguridad inadecuada, es 100% TU CULPA cuando un hacker compromete tu cuenta.
Facebook es solo una de las muchas aplicaciones en la nube que muchas empresas utilizan y que pueden ser hackeadas. Cualquier empresa que utilice cualquier aplicación en la nube, incluidas aquellas que verifican que son seguras, PUEDE SER HACKEADA con las credenciales adecuadas. La seguridad de Facebook no causó que su cuenta fuera comprometida, fue la falla de un empleado.
La MEJOR manera de manejar esto, es NO ser hackeado en primer lugar. Aquí tienes lo que necesitas hacer para protegerte:
– Comparte este artículo para asegurarte de que tu personal conozca este tipo de estafas. La ventaja número uno de los ciberdelincuentes sigue siendo la arrogancia; las empresas y la mayoría de las personas insisten en que “nadie querría hackearme” y, por lo tanto, no son muy cautelosos con las protecciones cibernéticas.
– Asegúrate de crear contraseñas fuertes y únicas para CADA aplicación a la que tú y tu equipo inicien sesión. Usa una buena herramienta de gestión de contraseñas para gestionar esto, pero recuerda, DEBE USARSE PARA FUNCIONAR. Para que funcione después de implantarse debe ser USADA, por ejemplo, no permitas que los empleados almacenen contraseñas en Chrome y eludan el sistema de gestión de contraseñas.
– Minimiza la cantidad de personas que inician sesión en cualquier cuenta. Si alguien necesita acceso, dale ese acceso y luego elimínalo como usuario inmediatamente. Cuantos más usuarios tengas en una aplicación en la nube, mayores serán las posibilidades de una brecha.
– Asegúrate de que todos los dispositivos que se conecten a tu red estén seguros. El malware de registrador de teclas puede vivir en un dispositivo para robar tus datos y credenciales.
Este tipo de estafas son solo una avalancha de amenazas dirigidas a los propietarios de pequeñas empresas, siendo los más susceptibles aquellos que nunca “revisan las cerraduras” para asegurarse de que su empresa de TI actual esté haciendo lo que debería.
Si quieres profundizar más o tienes alguna duda o sugerencia ¡Contáctame hoy!
