Un ciberataque contra grandes empresas está robando grandes cantidades de datos confidenciales usando sólo el teléfono como arma

Cuando las medidas antimalware son cada vez más complejas (y las vulnerabilidad técnicas están más vigiladas), la ingeniería social siempre supone una reto segura para los ciberdelincuentes. La razón es sencilla: el vínculo débil seguimos siendo las personas, y si un atacante logra manipular a un usufructuario para que fiordo la puerta, toda la infraestructura puede salir comprometida.

Por eso, las grandes organizaciones deben dejar de encomendar exclusivamente en controles automáticos y nacer a alentar su civilización de ciberseguridad desde adentro. Porque a veces, una indicación telefónica puede ser más peligrosa que mil líneas de código bellaco.

Proporcionadamente lo sabe el Corro de Inteligencia sobre Amenazas de Google (GTIG, por sus siglas en inglés) que, tras una nuevo investigación, ha revelado una sofisticada campaña de ciberestafas perpetrada por un agrupación identificado como UNC6040, cuya división es el vishing —el phishing por voz, en el cual los atacantes se hacen tener lugar por entidades legítimas a través de llamadas telefónicas.

Su objetivo está claro: comprometer entornos digitales de grandes corporaciones (basados en la popular plataforma Salesforce) para exfiltrar datos confidenciales y dañar a sus víctimas.

¿Qué es el vishing y cómo lo está utilizando UNC6040?

El vishing es una técnica de ingeniería social que utiliza llamadas telefónicas para manipular a las víctimas. En la campaña de UNC6040, los atacantes se hacen tener lugar por personal de soporte técnico y convencen a los empleados para que realicen toda clase de acciones inseguras, desde instalar aplicaciones modificadas en Salesforce hasta, directamente, revelar credenciales y códigos de autenticación multifactor (MFA).

Una de las herramientas esencia en estos ataques es una interpretación alterada del Salesforce Data Loader, una aplicación legítima utilizada para importar, exportar o renovar grandes volúmenes de datos. Al instalar una interpretación maliciosa de esta aparejo, el atacante consigue paso privilegiado a los datos almacenados por la compañía en cuestión en Salesforce.

Modus operandi

1. Señal del estafador: El empleado recibe una indicación de un supuesto técnico de soporte.
2. Simulación en tiempo efectivo: Se le prontuario paso a paso para autorizar una aplicación conectada a Salesforce con apariencia legítima.
3. Autorización de app maliciosa: Se instala una variación de Data Loader no autorizada (bajo nombres como 'My Ticket Portal').
4. Exfiltración de datos: Una vez establecida la conexión, los atacantes comienzan a extraer grandes volúmenes de información.
5. Movimiento adyacente: Con las credenciales obtenidas, los atacantes acceden a otras plataformas corporativas, como Okta y Microsoft 365.
6. Perjuicio retardada: A menudo pasan meses entre la brecha auténtico y la amenaza de molestia, lo que complica la detección temprana.

Perfil del atacante

UNC6040 es un agrupación con motivaciones financieras, observado en campañas dirigidas principalmente a organizaciones en Europa y América del Meta. Entre los sectores atacados se encuentran la hostelería, el comercio minorista y la educación.

Las investigaciones del GTIG han detectado una posible superposición entre UNC6040 y grupos asociados al colectivo 'The Com', una comunidad informal de ciberdelincuentes con la que comparte tácticas como el uso de servicios de anonimato tipo Mullvad VPN. para exfiltrar datos sin ser detectados.

¿Por qué funciona esta táctica?

UNC6040 ha tenido éxito por varias razones:

• Confianza en el personal interno: Las llamadas imitan protocolos reales de soporte técnico.
• Desliz de concienciación: Muchos empleados no distinguen entre aplicaciones oficiales y versiones manipuladas.
• Complejidad de las plataformas SaaS: Herramientas como Salesforce son vastas, y su seguridad suele necesitar del cliente, no del proveedor.

Adicionalmente, el GTIG señala que este agrupación no explota fallos técnicos en Salesforce. Su método se apoyo en el simulación, lo que lo hace aún más difícil de mitigar por herramientas automatizadas.

Medidas de protección recomendadas

A pesar del enfoque no técnico del ataque, hay múltiples formas de mitigar el aventura:

• Principio de pequeño privilegio: Circunscribir las capacidades de herramientas como Data Loader. Solo los usuarios estrictamente necesarios deben tener permisos como “API Enabled”.
• Control puro de apps conectadas: Auditar y restringir las aplicaciones conectadas, permitiendo solo aquellas aprobadas formalmente.
• Restricciones por dirección IP: Configurar Salesforce para que solo acepte conexiones desde rangos IP conocidos y seguros.
• Uso de Salesforce Shield: Aplicar políticas de seguridad como la supervisión de descargas masivas de datos y descomposición de patrones de uso mediante "Event Monitoring".
• Autenticación multifactor (MFA): Aunque los atacantes intentan eludirla, la MFA sigue siendo una defensa crítica si se combina con formación adecuada.
• Formación y simulacros: Concienciar al personal sobre amenazas de vishing y practicar respuestas delante incidentes simulados puede marcar la diferencia.

Imagen | Marcos Merino mediante IA

En Genbeta | Del 'vibe coding' al 'vibe hacking': la IA ya es todo un agente de ciberseguridad. Apunta a cambiarlo todo en empresas pequeñas