Espero que este 2025 haya comenzado tan seguro como un archivo encriptado con 256 bits (o como esos propósitos de año nuevo que prometemos cumplir… al menos durante enero). Hoy te traigo una noticia que estuvo recorriendo varias plataformas durante los últimos días.

La semana pasada, un grupo de hackers patrocinados por el Estado chino (según EE.UU. aunque China ha negado las acusaciones) logró algo que ni el tío que pirateaba DVDs en 2005 se atrevió a hacer: infiltrarse al mismísimo Departamento del Tesoro de Estados Unidos. Sí, ese lugar donde guardan todos los secretos financieros del tío Sam (o al menos eso queremos creer). Los atacantes lograron acceder a documentos no clasificados al comprometer un software externo que utilizaba el Tesoro, que lo nombró como un “incidente importante de ciberseguridad”. Un caso clásico de «el eslabón más débil».

La ciberseguridad no es solo un trabajo de «los de sistemas». Es una responsabilidad compartida. Un error pequeño, como una contraseña débil o un clic indebido, podría costarnos caro.

¿Qué hicieron exactamente?

Los hackers comprometieron un proveedor de software externo llamado BeyondTrust y robaron una clave de acceso. El pasado 8 de diciembre, el Tesoro recibió un aviso de BeyondTrust Inc. informando que un ciberdelincuente había obtenido acceso a una clave crítica. Esta clave se usaba para asegurar un servicio en la nube que permitía ofrecer soporte técnico remoto a los usuarios de las Oficinas Departamentales del Tesoro.

Con esta llave maestra, tuvieron vía libre para entrar y husmear todo lo que quisieron. Este ataque es un recordatorio escalofriante de que no importa qué tan grande y robusta sea tu empresa: si tus socios no tienen un buen blindaje, todos estamos en peligro. 

Pero, ¿esto solamente afecta a las empresas grandes?

Para nada. Si los hackers pueden entrar al Departamento del Tesoro, imagina lo que podrían hacer con tus cuentas bancarias, tus redes sociales o peor… tu cuenta de Spotify, con tus playlists favoritas que parecen una ensalada.

La ciberseguridad no es solo un trabajo de «los de sistemas». Es una responsabilidad compartida. Un error pequeño, como una contraseña débil o un clic indebido, podría costarnos caro. Así que debemos tomar en serio esta misión. Por eso aquí te dejamos algunas lecciones para empresas y mortales comunes:

• Elegir bien a los proveedores: Cuando se trata de agentes externos, no todo es precio y rapidez. Pregúntales también cosas importantes como: «¿Qué tan protegido están mis datos contigo?» o «¿Cuándo fue tu última auditoría de seguridad?» La confianza digital no se regala, se gana.
• Contraseñas: Si tu contraseña es «123456», “pokemon” , o «fulanito2024», es hora de reconsiderar tus elecciones. Intenta algo como «0dioLoSLun3s!*». Y no te preocupes, es un mito que las contraseñas fuertes provoquen dolor de cabeza… aunque tal vez sí una leve frustración al escribirlas.

• Capacitación para todos: Desde el CEO hasta el becario más nuevo de tu empresa, todos deben saber los conceptos básicos de ciberseguridad. No queremos que alguien haga clic en un correo con el asunto «¡Has ganado un iPhone!» abriéndole la puerta a los hackers.

• Cuidado con el Shadow IT: Esa app que instalaste sin avisarle a TI porque «es solo para probar algo rápido» podría ser la invitación directa a los ciberdelincuentes. Hablemos con el equipo de TI antes de instalar cualquier cosa. Mejor prevenir, que lamentar.

Cada acción cuenta, aunque parezca poca cosa, desde usar contraseñas fuertes hasta evitar abrir correos sospechosos. Así que este 2025, hagamos de la seguridad online nuestra meta compartida.

Nos leemos pronto, y mientras tanto…mantente seguro 🔐