Mientras que la industria de la energía puede temer la aparición de otro Stuxnet en los sistemas que utilizan para mantener el petróleo, el gas que fluye y la red eléctrica; un ataque igualmente devastador podría provenir de una fuente mucho más común: el phishing.

De acuerdo con los expertos de seguridad, en lugar de preocuparse por las armas cibernéticas exóticas como “Stuxnet” y su hermano mayor “Flame”, las empresas que cuentan con sistemas de Supervisión, Control y Adquisición de Datos (SCADA, por sus siglas en inglés), que son sistemas informáticos que monitorean y controlan procesos industriales, deben asegurarse de que sus programas anti-phishing funcionan.

"La forma en que el software malicioso se está introduciendo en estas redes internas es por la aplicación de ingeniería social en las personas a través del correo electrónico" dijo Rohyt Belani, director ejecutivo y cofundador de la empresa de formación anti-phishing, PhishMe.

"Tú les envías a las personas un correo dirigido que contiene una historia creíble, no un gran volumen de spam, y la gente actuará haciendo clic en un enlace o abriendo un archivo adjunto", dijo Belani. "Entonces ¡Boom!, los atacantes consiguen el punto de apoyo inicial que estaban buscando".

En un estudio de casos citados por Belani, recordó un ataque muy particular hacia un solo empleado que trabajaba en el turno nocturno monitoreando los sistemas SCADA de su compañía.

El atacante investigó los antecedentes del trabajador a través de Internet y utilizó el hecho de que tenía cuatro hijos con la finalidad de elaborar un correo electrónico falso del departamento de recursos humanos de la empresa con una oferta de seguro de salud especial para las familias con tres o más hijos.

El empleado hizo clic en un vínculo malintencionado del mensaje y con ello infectó la red de su empresa con malware. "Los ingenieros son muy vulnerables a los ataques de phishing" dijo Tyler Klinger, investigador de la firma Critical Intelligence.