“Nosaltres teníem el doble factor d’autentificació posat i tots els sistemes que creiem important tenir per protegir-nos. El que ens va salvar va ser els protocols interns i la cultura de seguretat que tenim en el personal”. Ivan Bailach, director general a Heavymovement té clar que el que va evitar que aquesta empresa de Castellbisbal fos estafada va ser la formació i sensibilització als seus treballadors vers la ciberseguretat. Així ho ha explicat aquest dijous al Digital Summit'25 de la Cambra de Comerç de Terrassa.
La companyia es dedica als serveis industrials especialitzats per al sector siderometal·lúrgic i treballa per a grans corporacions a escala internacional. Segons ha explicat Jesús Álvarez, director de tecnologies de la informació de Heavymovement, un membre de l’equip financer de l’empresa va rebre un correu electrònic en què el director de l’àrea sol·licitava una transferència urgent molt elevada a un compte de Portugal. Tot semblava normal, legítim, tant el remitent, com l’estil del text, etc. S’imitava el to i fins i tot les imatges de correus anteriors de transferències que s’havien fet legítimament.
Era un intent de ciberestafa “amb els principals vectors que solen donar aquests tipus d’atacs: la suplantació d’identitat d’una persona dins de l’empresa que té un cert rang perquè les comandes siguin menys sospitoses; el caràcter d’urgència de les comunicacions perquè el ciberdelinqüent el que busca és no deixar temps al receptor per pensar; i la demanda d’una alta quantitat de diners”, ha indicat Álvarez.
“Nosaltres no fem cap transferència si no hi ha un certificat de titularitat bancària. A part, aquest caràcter d’urgència que tenia el missatge i no havent-se parlat ni planificat aquesta transferència el que va originar és que s’activessin totes les alarmes. Davant del dubte s’ha de confirmar si això és real i la persona que va rebre el correu ho va fer parlant amb el director financer”, ha exposat Álvarez. Seguidament, l’empresa es va comunicar amb el seu servei tècnic extern per iniciar una investigació i coordinar accions de mitigació: un bloqueig immediat d’accés als comptes i un tancament de sessions remot, canvi de contrasenyes, revisió de protocols... I van continuar fent simulacres per preparar el personal perquè “la seguretat és part de tota l’organització”.
“Aquella persona malintencionada té un mercat enorme d’empreses i de persones on li és relativament fàcil fer actes perniciosos o malintencionats. A més, li és molt fàcil de fer-ho amb les tecnologies que té i molt difícil que l’agafin. Té una certa seguretat que segurament no li passarà res”, opina Bailach. Així, el director general de Heavymovement ha advertit que “la pregunta que ens hem de fer no és si ens atacaran, sinó quan ho faran i com respondrem”. De fet, aquesta empresa, més enllà del cas concret que van explicar, ha tingut altres intents de ciberatac amb suplantacions d’identitat d’altres directius i els han aconseguit aturar.
