La casa de apuestas española Codere ha reconocido a la Comisión de Bolsa y Valores (SEC) de EEUU, donde cotiza, que ha sufrido un ciberataque durante su ejercicio pasado, en el que los hackers aprovecharon las numerosas deficiencias y falta de controles internos para robarles alrededor de 774.000 euros.
Nadie está a salvo de sufrir un ciberataque, y si eres una empresa que ingresa millones de euros al año como Codere, todavía menos. Y es que tal y como ha descubierto elDiario.es, la casa de apuestas española ha sufrido un ataque de spoofing (hacerse pasar por una persona o entidad) durante el 2022.
Al parecer los hechos ocurrieron en el primer semestre del año, y como ha tenido que explicar la compañía al SEC estadounidense (debido a que su filial Codere Online cotiza ahí) ocurrieron por la falta de controles internos de la empresa.
Según hemos podido saber, los atacantes consiguieron hackear el correo electrónico de uno de los directivos de la filial online para después comenzar a solicitar pagos adjuntando facturas manipuladas haciéndose pasar por agentes del equipo comercial de Codere Online.
La suma de todas estas facturas falsas asciende a unos 774.000 euros que fueron redirigidos a cuentas en el extranjero controladas por el suplantador. En el momento que descubrieron la brecha, Codere se puso a rastrear el dinero y contactó con los bancos involucrados en las transferencias, pero por ahora tan solo han recuperado una parte mínima.
A pesar de que los atacantes accedieron al correo de un directivo y a la información que albergaba este perfil no hay evidencia de que se haya tenido acceso a ninguna información corporativa de la compañía, incluyendo la financiera o contable, ni tampoco los depósitos de cuenta de los clientes de Codere y sus contraseñas.
Codere reconoce que en gran medida este ciberataque ha sido posible debido a las múltiples debilidades de su sistema. En primer lugar, destacan la falta de control interno sobre la información financiera de la filial, a lo que se le suma la debilidad del sistema de pago y la incapacidad de sus sistemas de seguridad de proteger a la compañía de un ciberataque.
Por ahora Codere no ha encontrado ninguna evidencia que indique que algún trabajador estuviera involucrado en el robo y ha asegurado que ya están mejorando los controles internos para evitar que esto vuelva a ocurrir.
