Workday, un proveedor líder de aplicaciones empresariales, confirmó que sufrió una filtración de datos como resultado de una sofisticada campaña de ingeniería social. El ataque tuvo lugar a través de la plataforma de gestión de relaciones con el cliente (CRM) de un tercero, aunque la empresa aseguró que no se vio comprometida ninguna información de clientes o inquilinos.
Cómo ocurrió el ataque
Según Workday, los ciberdelincuentes están utilizando esquemas elaborados de ingeniería social para atacar a numerosas organizaciones. Estos ataques implican contactar a los empleados por medio de mensajes de texto o llamadas telefónicas, haciéndose pasar por personal de Recursos Humanos o del departamento de TI. El objetivo es engañar a los empleados para que revelen sus credenciales o información personal delicada.
El equipo de seguridad de Workday identificó que la compañía fue objetivo de esta campaña, lo que permitió a los atacantes obtener acceso no autorizado a información dentro de su sistema CRM de terceros.
Datos comprometidos y medidas tomadas
La información comprometida se limitó a «datos de contacto comerciales que suelen estar disponibles de forma pública, como nombres, direcciones de correo electrónico y números de teléfono«. Se cree que los atacantes obtuvieron esta información para llevar a cabo más estafas de ingeniería social.
Workday actuó con rapidez para detener el acceso no autorizado y ha implementado medidas de seguridad adicionales. La compañía aprovecha este incidente para reforzar la conciencia sobre seguridad entre sus empleados y el público en general.
Recomendaciones de seguridad
Para evitar futuros ataques, Workday recuerda a sus usuarios sus políticas de comunicación: «Workday nunca se comunicará con nadie por teléfono para solicitar una contraseña u otros detalles de seguridad. Todas las comunicaciones oficiales de Workday se realizan a través de nuestros canales de soporte confiables.»
Este incidente destaca la creciente tendencia de los ciberdelincuentes de explotar el «factor humano» para infiltrarse en redes corporativas. Por lo tanto, se recomienda encarecidamente a las organizaciones que mejoren los programas de capacitación para que sus empleados puedan reconocer y reportar estos intentos maliciosos.
