What Are You Looking For?

Popular Tags

Tech
Lectura 2 - 3 minutos
Ingeniería social 2.0: cuando una llamada basta para vulnerar a una empresa
TXT Genbeta

Ingeniería social 2.0: cuando una llamada basta para vulnerar a una empresa

  • Like
  • Comentar

El Grupo de Inteligencia sobre Amenazas de Google (GTIG) ha revelado una campaña de ciberataques dirigida a grandes organizaciones mediante una técnica conocida como vishing, en la que los atacantes engañan a empleados por teléfono para obtener acceso a sistemas internos.

El grupo responsable, identificado como UNC6040, utiliza llamadas suplantando a personal de soporte técnico para manipular a los empleados. A través de instrucciones verbales, logran que las víctimas instalen aplicaciones maliciosas en plataformas como Salesforce, accediendo así a grandes volúmenes de información sensible.

¿Cómo operan?

El ataque se basa en ingeniería social, no en vulnerabilidades técnicas. Los pasos típicos incluyen:

1. Llamadas telefónicas en las que los atacantes se hacen pasar por técnicos.
2. Solicitud para instalar una supuesta herramienta de soporte, que en realidad es una versión alterada del Salesforce Data Loader.
3. Exfiltración de datos corporativos una vez que se establece la conexión.
4. Acceso a otras plataformas como Okta y Microsoft 365, gracias a las credenciales obtenidas.

 

En algunos casos, los atacantes esperan meses antes de iniciar una extorsión, dificultando la detección temprana del ataque.

Un problema humano, no técnico

Lo que hace especialmente peligroso este ataque es que no se basa en fallos del software, sino en la confianza del personal y la falta de formación en ciberseguridad. Las aplicaciones manipuladas imitan herramientas legítimas, lo que facilita que los empleados autoricen su uso sin sospechas.

Medidas de prevención

Aunque el ataque no explota brechas técnicas, existen formas de reducir el riesgo:

Limitar privilegios: Solo personal esencial debe tener acceso a herramientas como Data Loader.
Controlar aplicaciones conectadas: Autorizar únicamente aquellas aprobadas por el área de TI.
Restringir accesos por IP: Configurar Salesforce para aceptar conexiones solo desde ubicaciones seguras.
Monitorear descargas masivas de datos: Usar herramientas de supervisión como Salesforce Shield.
Aplicar MFA con capacitación adecuada: La autenticación multifactor sigue siendo clave si se acompaña de formación.
Realizar simulacros: Entrenar al personal ante intentos de vishing mejora la capacidad de respuesta.

Un llamado a fortalecer la cultura de ciberseguridad

Este caso demuestra que incluso con sistemas técnicos robustos, la seguridad depende también del factor humano. Las organizaciones deben invertir en concienciación, controles internos y simulaciones que preparen a su personal para identificar y detener este tipo de ataques.

Inicia sesión y comenta
Ant. Reddit demanda a Anthropic por el uso no autorizado de su contenido para entrenar IA
Sig. Ya puedes escuchar tus mensajes de WhatsApp en voz alta en iOS y Android, sin usar otras apps

Hay 9167 invitados y ningún miembro en línea

Publish modules to the "offcanvas" position.