Cuando las medidas antimalware son cada vez más complejas (y las vulnerabilidad técnicas están más vigiladas), la ingeniería social siempre supone una apuesta segura para los ciberdelincuentes. La razón es sencilla: el eslabón débil seguimos siendo las personas, y si un atacante logra manipular a un usuario para que abra la puerta, toda la infraestructura puede quedar comprometida.
Por eso, las grandes organizaciones deben dejar de confiar únicamente en controles automáticos y empezar a reforzar su cultura de ciberseguridad desde adentro. Porque a veces, una llamada telefónica puede ser más peligrosa que mil líneas de código malicioso.
Bien lo sabe el Grupo de Inteligencia sobre Amenazas de Google (GTIG, por sus siglas en inglés) que, tras una reciente investigación, ha revelado una sofisticada campaña de ciberestafas perpetrada por un grupo identificado como UNC6040, cuya especialidad es el vishing —el phishing por voz, en el cual los atacantes se hacen pasar por entidades legítimas a través de llamadas telefónicas.
Su objetivo está claro: comprometer entornos digitales de grandes corporaciones (basados en la popular plataforma Salesforce) para exfiltrar datos confidenciales y extorsionar a sus víctimas.
¿Qué es el vishing y cómo lo está utilizando UNC6040?
El vishing es una técnica de ingeniería social que utiliza llamadas telefónicas para manipular a las víctimas. En la campaña de UNC6040, los atacantes se hacen pasar por personal de soporte técnico y convencen a los empleados para que realicen toda clase de acciones inseguras, desde instalar aplicaciones modificadas en Salesforce hasta, directamente, revelar credenciales y códigos de autenticación multifactor (MFA).
Una de las herramientas clave en estos ataques es una versión alterada del Salesforce Data Loader, una aplicación legítima utilizada para importar, exportar o actualizar grandes volúmenes de datos. Al instalar una versión maliciosa de esta herramienta, el atacante consigue acceso privilegiado a los datos almacenados por la compañía en cuestión en Salesforce.
Modus operandi
- Llamada del estafador: El empleado recibe una llamada de un supuesto técnico de soporte.
- Engaño en tiempo real: Se le guía paso a paso para autorizar una aplicación conectada a Salesforce con apariencia legítima.
- Autorización de app maliciosa: Se instala una variante de Data Loader no autorizada (bajo nombres como ‘My Ticket Portal’).
- Exfiltración de datos: Una vez establecida la conexión, los atacantes comienzan a extraer grandes volúmenes de información.
- Movimiento lateral: Con las credenciales obtenidas, los atacantes acceden a otras plataformas corporativas, como Okta y Microsoft 365.
- Extorsión retardada: A menudo pasan meses entre la brecha inicial y la amenaza de extorsión, lo que complica la detección temprana.
Perfil del atacante
UNC6040 es un grupo con motivaciones financieras, observado en campañas dirigidas principalmente a organizaciones en Europa y América del Norte. Entre los sectores atacados se encuentran la hostelería, el comercio minorista y la educación.
Las investigaciones del GTIG han detectado una posible superposición entre UNC6040 y grupos asociados al colectivo ‘The Com’, una comunidad informal de ciberdelincuentes con la que comparte tácticas como el uso de servicios de anonimato tipo Mullvad VPN. para exfiltrar datos sin ser detectados.
¿Por qué funciona esta táctica?
UNC6040 ha tenido éxito por varias razones:
- Confianza en el personal interno: Las llamadas imitan protocolos reales de soporte técnico.
- Falta de concienciación: Muchos empleados no distinguen entre aplicaciones oficiales y versiones manipuladas.
- Complejidad de las plataformas SaaS: Herramientas como Salesforce son vastas, y su seguridad suele depender del cliente, no del proveedor.
Además, el GTIG señala que este grupo no explota fallos técnicos en Salesforce. Su método se basa en el engaño, lo que lo hace aún más difícil de mitigar por herramientas automatizadas.
Medidas de protección recomendadas
A pesar del enfoque no técnico del ataque, hay múltiples formas de mitigar el riesgo:
- Principio de mínimo privilegio: Limitar las capacidades de herramientas como Data Loader. Solo los usuarios estrictamente necesarios deben tener permisos como “API Enabled”.
- Control estricto de apps conectadas: Auditar y restringir las aplicaciones conectadas, permitiendo solo aquellas aprobadas formalmente.
- Restricciones por dirección IP: Configurar Salesforce para que solo acepte conexiones desde rangos IP conocidos y seguros.
- Uso de Salesforce Shield: Aplicar políticas de seguridad como la supervisión de descargas masivas de datos y análisis de patrones de uso mediante «Event Monitoring».
- Autenticación multifactor (MFA): Aunque los atacantes intentan eludirla, la MFA sigue siendo una defensa crítica si se combina con formación adecuada.
- Formación y simulacros: Concienciar al personal sobre amenazas de vishing y practicar respuestas ante incidentes simulados puede marcar la diferencia.
Imagen | Marcos Merino mediante IA
–
La noticia
Un ciberataque contra grandes empresas está robando grandes cantidades de datos confidenciales usando sólo el teléfono como arma
fue publicada originalmente en
Genbeta
por
Marcos Merino
.
