Incidentes Asociados
El desconocido que le envió un mensaje a Matthew Van Andel en línea en julio pasado sabía mucho sobre él, incluidos detalles sobre su almuerzo con compañeros de trabajo en Disney DIS 1.18%increase; green up pointing triangle de unos días antes.
Su mente corría; sabía que nadie fuera de Disney tendría acceso a esa información. ¿Cómo sabía la persona que le envió un mensaje en el foro de chat de Discord lo que había dicho en un canal privado de Slack del lugar de trabajo?
"He obtenido acceso a cierta información confidencial relacionada con su vida personal y profesional", decía otro mensaje de Discord. Van Andel se dio cuenta de que lo habían hackeado.
A la mañana siguiente, el intercambio de mensajes de Slack a la hora del almuerzo se convirtió en uno de los más de 44 millones de mensajes de Disney de la herramienta de colaboración en el lugar de trabajo publicados en línea por un grupo de piratas informáticos crípticos con motivaciones turbias. El pirata informático había utilizado las credenciales de inicio de sesión de Van Andel para robarle a su empleador.
El ataque hizo que el equipo de ciberseguridad de Disney se pusiera en movimiento para evaluar el daño. La información privada de los clientes, los números de pasaporte de los empleados y las cifras de ingresos de los parques temáticos y de la transmisión estaban en el enorme vertedero de datos.
La violación trastocó la vida de Van Andel. El hacker robó los números de su tarjeta de crédito y acumuló facturas, además de filtrar los datos de acceso a su cuenta, incluidos los de cuentas financieras. El atacante publicó en Internet la información personal de Van Andel, que abarcaba desde su número de la Seguridad Social hasta las credenciales de acceso que podían utilizarse para acceder a las cámaras Ring de su casa.
"Es imposible transmitir la sensación de violación", dijo Van Andel, un padre de dos niños de 42 años.
Unas semanas después, Van Andel, apodado Dutch, también se quedó sin trabajo. Después de un análisis forense de su ordenador de trabajo, Disney lo despidió, diciéndole que había descubierto que había accedido a material pornográfico en el dispositivo. Van Andel niega haber accedido a pornografía en su ordenador de trabajo.
"La afirmación del señor Van Andel de que no incurrió en la mala conducta que llevó a su despido queda firmemente refutada por la revisión que ha hecho la empresa del dispositivo que le había proporcionado", dijo un portavoz de Disney en un comunicado.
Disney dijo en una presentación ante las autoridades en agosto que estaba investigando el incidente y que no se esperaba que tuviera un impacto material en sus operaciones o desempeño financiero. La compañía les dijo a los empleados después del ataque que planeaba dejar de usar Slack en un esfuerzo por optimizar sus herramientas de colaboración.
La experiencia de Van Andel es una advertencia para las empresas (y las personas) sobre cuán vulnerables son a los piratas informáticos oportunistas.
Durante la pandemia, las empresas rápidamente se aseguraron de que los trabajadores pudieran acceder a los sistemas desde casa, y los piratas informáticos pronto se dieron cuenta de que las computadoras domésticas se habían convertido en puertas traseras corporativas.
Los piratas informáticos han creado una variedad de herramientas maliciosas, llamadas robadores de información, que se esconden en el software que las personas descargan de Internet. Los piratas informáticos roban sus credenciales, que se revenden en línea.
Según el grupo Mandiant de Google, que investiga las intrusiones cibernéticas, el año pasado se utilizaron credenciales robadas en casi el 40% de las intrusiones cibernéticas con motivos económicos, frente a la mitad de esa tasa en 2022.
Software siniestro
El desenlace digital de Van Andel comenzó en febrero pasado, cuando descargó un software gratuito del popular sitio de intercambio de códigos GitHub mientras probaba una nueva tecnología de inteligencia artificial en su computadora de casa. El software ayudó a crear imágenes de IA a partir de indicaciones de texto.
Funcionó, pero el asistente de IA era en realidad un malware que le dio al pirata informático acceso a su computadora y a toda su vida digital.
El pirata informático obtuvo acceso a 1Password, un administrador de contraseñas que Van Andel usaba para almacenar contraseñas y otra información confidencial, así como "cookies de sesión", archivos digitales almacenados en su computadora que le permitían acceder a recursos en línea, incluido el canal Slack de Disney.
Van Andel se enteró de que tenía un problema a la hora del almuerzo el jueves 11 de julio, cuando vio el mensaje de Discord del desconocido.
Pensó que era una estafa y casi lo borró, pero siguió leyendo y vio la referencia a su conversación de Slack de Disney.
Van Andel llamó al "equipo de bomberos" de Disney, un grupo corporativo creado para responder rápidamente a las amenazas cibernéticas. Confirmaron que su cuenta de Slack había sido violada, pero no vieron nada sospechoso en su computadora portátil corporativa y le dijeron que revisara sus dispositivos personales.
Su software antivirus no había encontrado nada en su PC, pero instaló un segundo programa antivirus que encontró el malware casi de inmediato.
El pirata informático dijo que era parte de un grupo de hacktivistas con sede en Rusia. Había estado en la computadora de Van Andel durante cinco meses. Desde el ataque, los investigadores de seguridad dicen que lo más probable es que Nullbulge sea una sola persona y estadounidense.
Mientras Van Andel estaba hablando por teléfono con el equipo de respuesta de Disney, el pirata informático envió un correo electrónico que dejaba en claro que tenía acceso a la cuenta de correo electrónico personal de Van Andel.
Se quejó de que Van Andel había marcado su primer mensaje como spam y que luego había tirado el segundo a la papelera. El hacker advirtió sobre una nueva etapa de su campaña.
"Responde, haz lo que queremos o terminarás en la red", dijo el hacker.
Hasta donde sabía Van Andel, solo había una forma en que el hacker podría haber obtenido acceso a su correo electrónico: 1Password, el software que había utilizado para proteger su vida digital.
Evaluación del daño
Los siguientes días pasaron como un borrón; Van Andel restableció los cientos de credenciales almacenadas en su 1Password.
El hacker cumplió su amenaza a la mañana siguiente y publicó en línea todas las credenciales de inicio de sesión de 1Password que Van Andel había almacenado.
Las cuentas de Roblox de sus hijos fueron secuestradas. Sus cuentas de redes sociales en línea se llenaron de lenguaje ofensivo de extraños que usaron las credenciales filtradas.
Muchas de estas cuentas, incluido el correo electrónico, estaban protegidas por autenticación de dos factores. El hacker necesitaba más que un nombre de usuario y una contraseña para entrar en las cuentas de doble factor. La gente suele utilizar un mensaje de texto o una aplicación de teléfono móvil, pero el segundo factor de Van Andel fue 1Password.
Mientras investigaba su intrusión, Van Andel se dio cuenta de que la clave de su reino -la cuenta de 1Password- no estaba protegida por un segundo factor. Requería solo un nombre de usuario y una contraseña por defecto, y él no había dado el paso adicional de activar la autenticación de dos factores.
Una vez que alguien tiene un programa troyano keylogger en su ordenador, "un atacante tiene acceso casi sin restricciones", dijo un portavoz de 1Password.
En los últimos años ha florecido un mercado de credenciales robadas, al igual que las herramientas de piratería diseñadas para robarlas, dicen los expertos en ciberseguridad.
Van Andel apenas dormía o comía, y ha sufrido ataques de pánico. Poco después de presentar una denuncia ante la policía, el hacker publicó su información personal en línea. Empezó a recibir llamadas telefónicas de los medios de comunicación y recibió llamadas y mensajes de texto espeluznantes de desconocidos.
Once días después de que comenzara la terrible experiencia, un representante del departamento de recursos humanos de Disney llamó para decirle que Van Andel había sido despedido a la luz de los hallazgos del examen de la computadora portátil. "Yo soy el que fue hackeado", le dijo al representante de recursos humanos.
Le cancelaron el seguro médico y perdió alrededor de 200.000 dólares en bonificaciones.
Van Andel está tratando de recuperar su vida. Ha encontrado un trabajo por contrato para ayudar a pagar las facturas y su hermana creó una campaña en GoFundMe para ayudar con los gastos.
El 19 de diciembre, su abogado envió una carta de demanda a Disney solicitando un acuerdo de ocho cifras por los salarios perdidos y la angustia emocional.
Van Andel dijo que todavía ve señales en línea de que la gente está tratando de usar las credenciales robadas que publicó Nullbulge para entrar en sus cuentas.
Escriba a Robert McMillan a robert.mcmillan@wsj.com y a Sarah Krouse a sarah.krouse@wsj.com
Copyright ©2025 Dow Jones & Company, Inc. Todos los derechos reservados. 87990cbe856818d5eddac44c7b1cdeb8
Apareció en la edición impresa del 27 de febrero de 2025 con el título 'Una descarga inocente trastoca la vida de un trabajador'.