La cibervenganza de tus antiguos empleados

17 Ene 2019

Despedir a los empleados forma parte del negocio, pero a veces puede ser muy doloroso. Además de poner de los nervios a los directores, los antiguos empleados también pueden causar daños a la reputación y finanzas de las empresas cuando intentan saldar sus cuentas.

¿Hasta dónde puede llegar ese resentimiento y cómo puedes protegerte contra la cibervenganza? Quédate, te lo contamos.

La contraseña de 200.000 dólares

En la universidad online American College of Education encontramos un buen ejemplo. La administración tuvo problemas con el administrador de sistema Triano Williams que trabajaba para la empresa en remoto.

En el 2016, el empleado presentó una queja de discriminación racial contra la organización. Poco después, se le ofreció un traslado a la oficina local de Indianapolis. Williams se negó, pues el teletrabajo era una de sus condiciones principales, y, como resultado, fue despedido. Aunque recibió una indemnización por despido, el experto informático quedó muy descontento y dio por hecho que toda la historia del traslado se debía a su queja. Para vengarse de la universidad, Williams cambió la contraseña de su cuenta de Google para que sus antiguos compañeros no pudieran acceder al correo electrónico, ni a los materiales de estudio de más de 2.000 estudiantes.

Según Williams, la contraseña se había quedado registrada automáticamente en el portátil con el que estuvo trabajando y el cual devolvió prácticamente de inmediato tras el despido. No obstante, según la universidad, el administrador limpió por completo el dispositivo antes de devolverlo.

La institución pidió a Google que restaurara el acceso a la cuenta, pero el perfil estaba registrado bajo la cuenta personal de Williams, no de la empresa. El abogado sugirió que quizás su cliente podría recordar la contraseña a cambio de 200.000 dólares y de una carta de recomendación por parte de la compañía.

Un ataque a lo grande

Pero hay casos más graves, como la venganza que tramó Richard Neale durante 6 meses contra Esselar, la empresa de seguridad de la información de la cual fue cofundador y director informático y que abandonó de muy malas formas.

Para desacreditar a sus antiguos compañeros, se esperó al día en el que Esselar tenía programada una demostración de sus servicios a un cliente muy importante, la compañía de seguros Aviva. La víspera de la presentación, Neale hackeó los teléfonos móviles de unos 900 empleados de Aviva y eliminó toda la información de sus dispositivos.

Después del incidente en cuestión, Aviva rompió todo tipo de relaciones con Esselar y demandó a la empresa una indemnización de 70.000 libras. Pero los antiguos socios de Neale estimaron las pérdidas de reputación y el daño potencial en 500.000 libras. Según la compañía, estas acciones fueron tan dañinas que Esselar consideró realizar un cambio de marca.

Una limpieza de datos rápida y costosa

Los empleados que ven cerca el despido pueden llegar a ser igual o más peligrosos. Mary Lupe Coole, ayudante de dirección en una empresa de arquitectura, vio un anuncio en un periódico en el cual solicitaban a alguien para su mismo puesto con el número de su jefe como teléfono de contacto.

Dando por hecho que la iban a despedir, Cooley eliminó datos de proyectos de los últimos siete años, causando unos daños estimados en 2,5 millones de dólares. En cuanto al anuncio, se trataba de una oferta de trabajo para la empresa de la mujer de su jefe.

Cómo evitar la cibervenganza

Para evitar que antiguos empleados dañen tu infraestructura informática, controla desde el primer día sus derechos y permisos. Y no te olvides de seguir estas reglas:

  • Controla los derechos informáticos de tus empleados, además de las cuentas y recursos a las que tienen acceso. Concede derechos adicionales solo si estás completamente seguro de que el empleado las necesite y registra esta información de inmediato.
  • Analiza y revisa periódicamente la lista de derechos y acuérdate de revocar los permisos que queden obsoletos.
  • Registra los servicios y recursos que utilice la empresa solo con direcciones corporativas. No hagas caso a los beneficios de las cuentas personales ni a la confianza que te transmita el empleado, piensa que tenéis una relación laboral que acabará tarde o temprano. Los nombres de dominio, las cuentas de las redes sociales y los paneles de control de los sitios web son, básicamente, activos de la compañía, por lo que es imprudente remitir su control al personal.
  • Bloquea todos los derechos de acceso y las cuentas de los exempleados tan pronto como sea posible; a poder ser, inmediatamente después del despido.
  • No comuniques abiertamente posibles despidos o reestructuraciones del personal y, cuando publiques un anuncio para un puesto específico, recuerda que esta información puede llegar a tus empleados.
  • Intenta mantener una buena relación y un ambiente agradable con todos los empleados. No es la codicia la que genera este tipo de ataques, sino el resentimiento de los exempleados.