Un ciberataque contra grandes empresas está robando grandes cantidades de datos confidenciales usando sólo el teléfono como arma

Un ciberataque contra grandes empresas está robando grandes cantidades de datos confidenciales usando sólo el teléfono como arma

Cuando las medidas antimalware son cada vez más complejas (y las vulnerabilidad técnicas están más vigiladas), la ingeniería social siempre supone una apuesta segura para los ciberdelincuentes. La razón es sencilla: el eslabón débil seguimos siendo las personas, y si un atacante logra manipular a un usuario para que abra la puerta, toda la infraestructura puede quedar comprometida.

Por eso, las grandes organizaciones deben dejar de confiar únicamente en controles automáticos y empezar a reforzar su cultura de ciberseguridad desde adentro. Porque a veces, una llamada telefónica puede ser más peligrosa que mil líneas de código malicioso.

Bien lo sabe el Grupo de Inteligencia sobre Amenazas de Google (GTIG, por sus siglas en inglés) que, tras una reciente investigación, ha revelado una sofisticada campaña de ciberestafas perpetrada por un grupo identificado como UNC6040, cuya especialidad es el vishing —el phishing por voz, en el cual los atacantes se hacen pasar por entidades legítimas a través de llamadas telefónicas.

Su objetivo está claro: comprometer entornos digitales de grandes corporaciones (basados en la popular plataforma Salesforce) para exfiltrar datos confidenciales y extorsionar a sus víctimas.

¿Qué es el vishing y cómo lo está utilizando UNC6040?

El vishing es una técnica de ingeniería social que utiliza llamadas telefónicas para manipular a las víctimas. En la campaña de UNC6040, los atacantes se hacen pasar por personal de soporte técnico y convencen a los empleados para que realicen toda clase de acciones inseguras, desde instalar aplicaciones modificadas en Salesforce hasta, directamente, revelar credenciales y códigos de autenticación multifactor (MFA).

Una de las herramientas clave en estos ataques es una versión alterada del Salesforce Data Loader, una aplicación legítima utilizada para importar, exportar o actualizar grandes volúmenes de datos. Al instalar una versión maliciosa de esta herramienta, el atacante consigue acceso privilegiado a los datos almacenados por la compañía en cuestión en Salesforce.

Modus operandi

  1. Llamada del estafador: El empleado recibe una llamada de un supuesto técnico de soporte.
  2. Engaño en tiempo real: Se le guía paso a paso para autorizar una aplicación conectada a Salesforce con apariencia legítima.
  3. Autorización de app maliciosa: Se instala una variante de Data Loader no autorizada (bajo nombres como ‘My Ticket Portal’).
  4. Exfiltración de datos: Una vez establecida la conexión, los atacantes comienzan a extraer grandes volúmenes de información.
  5. Movimiento lateral: Con las credenciales obtenidas, los atacantes acceden a otras plataformas corporativas, como Okta y Microsoft 365.
  6. Extorsión retardada: A menudo pasan meses entre la brecha inicial y la amenaza de extorsión, lo que complica la detección temprana.

Perfil del atacante

UNC6040 es un grupo con motivaciones financieras, observado en campañas dirigidas principalmente a organizaciones en Europa y América del Norte. Entre los sectores atacados se encuentran la hostelería, el comercio minorista y la educación.

Las investigaciones del GTIG han detectado una posible superposición entre UNC6040 y grupos asociados al colectivo ‘The Com’, una comunidad informal de ciberdelincuentes con la que comparte tácticas como el uso de servicios de anonimato tipo Mullvad VPN. para exfiltrar datos sin ser detectados.

¿Por qué funciona esta táctica?

UNC6040 ha tenido éxito por varias razones:

Además, el GTIG señala que este grupo no explota fallos técnicos en Salesforce. Su método se basa en el engaño, lo que lo hace aún más difícil de mitigar por herramientas automatizadas.

Medidas de protección recomendadas

A pesar del enfoque no técnico del ataque, hay múltiples formas de mitigar el riesgo:

Imagen | Marcos Merino mediante IA

En Genbeta | Del ‘vibe coding’ al ‘vibe hacking’: la IA ya es todo un agente de ciberseguridad. Apunta a cambiarlo todo en empresas pequeñas


La noticia

Un ciberataque contra grandes empresas está robando grandes cantidades de datos confidenciales usando sólo el teléfono como arma

fue publicada originalmente en

Genbeta

por
Marcos Merino

.

Salir de la versión móvil