Los piratas informáticos violan cada vez más los sistemas informáticos corporativos explotando comportamientos humanos ancestrales con la ayuda de nuevas tecnologías sofisticadas.
Los actores de amenazas están utilizando videos deepfake, clonación de voz impulsada por inteligencia artificial y otras herramientas para lanzar campañas dirigidas y cada vez más personalizadas dirigidas a ejecutivos corporativos, funcionarios gubernamentales y otras personas de alto perfil para suplantación de identidad, extorsión y ataques altamente disruptivos contra las principales industrias.
La ingeniería social fue el principal vector de acceso para los casos de respuesta a incidentes desde mayo de 2024 hasta mayo de 2025, Palo Alto Networks dijo en un informe publicado en julio.
Los atacantes utilizaron ingeniería social para violar los sistemas en el 36% de los incidentes que Palo Alto Networks investigó durante ese tiempo. En dos tercios de esos casos, los piratas informáticos atacaron cuentas privilegiadas o ejecutivas para acceder a los sistemas objetivo.
«Con amplios privilegios tanto para la información sensible como para los sistemas críticos del negocio, los ejecutivos tienen las llaves del reino corporativo», dijo Sam Rubin, vicepresidente senior del equipo de la Unidad 42 de Palo Alto Networks. «Los atacantes que buscan maximizar tanto el daño como las ganancias de la extorsión saben que los ejecutivos son objetivos lucrativos».
En más de la mitad de los ataques de ingeniería social, los piratas informáticos pudieron acceder a datos confidenciales y, en un número creciente de casos, los ataques interrumpieron funciones comerciales críticas o tuvieron un impacto modesto en el desempeño operativo de las empresas.
La suplantación de identidad elude las salvaguardias
Los grupos de amenazas utilizan cada vez más la clonación de voz, los deepfakes y otras tecnologías basadas en inteligencia artificial para hacerse pasar por ejecutivos de alto nivel.
En algunos casos, los piratas informáticos han atacado directamente a altos ejecutivos para extorsionarlos o clonado sus voces para usarlas en suplantaciones. Una vez que los atacantes clonan la voz de un ejecutivo, acceden a sus contactos de correo electrónico o copian su imagen, pueden realizar solicitudes falsas de restablecimiento de credenciales a una mesa de ayuda o enviar demandas fraudulentas a empleados de nivel inferior.
«En la era de la IA, la suplantación de voz o vídeo de los ejecutivos se ha convertido en un riesgo legítimo», dijo a Cybersecurity Dive Scott McCollum, analista principal de inteligencia del Threat Intelligence Group de Google. «Cuando personas desprevenidas reciben una llamada o un mensaje solicitando datos o acceso de su ejecutivo, se crea un riesgo real para la seguridad de la empresa».
Los piratas informáticos han utilizado la ingeniería social para realizar Ataques sofisticados contra una variedad de sectores. en los últimos meses, incluidas empresas de los sectores minorista, de aviación y de seguros.
En uno de los ataques más sonados de este año, el minorista británico Co-op sufrió un ataque que llevó a 275 millones de dólares (206 millones de libras) en ventas perdidas.
Rob Elsey, director digital y de información del grupo en Co-op, dijo a un subcomité de la Cámara de los Comunes que los piratas informáticos violaron las redes de la empresa haciéndose pasar por un empleado y respondiendo varias preguntas de seguridad, lo que les permitió restablecer las credenciales de la cuenta.
«Esa actividad ocurrió aproximadamente una hora antes de que comenzaran a usar la cuenta de manera maliciosa», Elsey dijo al Subcomité de Empresas y Comercio en una audiencia de julio.
Desde entonces, la compañía ha implementado medidas de identidad adicionales para prevenir tal ataque y ha «actualizado los procesos internos para eliminar ese vector de ataque por completo», dijo un portavoz a Cybersecurity Dive.
Como muchas otras organizaciones, Co-op se había preparado para tal incidente mediante ataques simulados y ejercicios del equipo rojo. Pero como en muchos de los ataques que la banda de ciberdelincuentes Scattered Spider llevó a cabo durante una ola de piratería que duró meses, las presiones del incidente real permitieron a los piratas informáticos eludir muchas de las estrategias en las que confiaron las empresas para prevenir o al menos mitigar tales ataques.
El ataque Co-op volvió a centrar la atención en Scattered Spider, un grupo de cibercrimen formado por jóvenes hackers de habla inglesa que trabaja con varios afiliados en una red clandestina poco unida conocida como The Com.
En agosto, Workday confirmó que experimentó un ataque de ingeniería social en el que los piratas informáticos se hicieron pasar por funcionarios de TI y de recursos humanos para engañar a los empleados y restablecer las contraseñas de sus cuentas. Luego, los piratas informáticos pudieron acceder a información desde una plataforma de gestión de relaciones con el cliente de terceros.
Tácticas en evolución
Los expertos en ciberseguridad y respuesta a incidentes dicen que las tácticas de ingeniería social han evolucionado en los últimos años. Los actores de amenazas tradicionalmente se centraban en engañar a las personas para que descargaran malware integrado en archivos adjuntos de correo electrónico, pero el mayor uso de la autenticación multifactor y otras medidas de seguridad obligaron a los atacantes a adoptar métodos más creativos (y personales) para obtener acceso inicial.
Los investigadores de Proofpoint dicen que una de las principales razones detrás del cambio fue la decisión de Microsoft de deshabilitar las macros XL4 y VBA en sus productos Office, de los que los piratas informáticos abusaban con frecuencia.
«En respuesta, los actores de amenazas recurrieron a ejecutables comprimidos, tipos de archivos alternativos y cadenas de ataques cada vez más complejas», dijo a Cybersecurity Dive Selena Larson, investigadora de amenazas y líder de análisis de inteligencia y estrategia en Proofpoint.
Desde 2024, los grupos de amenazas han girado hacia nuevos métodos de acceso inicial, como el ampliamente utilizado Técnica ClickFix para robar credenciales y realizar fraude financiero.
Objetivos de alto valor
En junio, Ponemon Institute y BlackCloak publicó un informe mostrando que los ataques de ingeniería social contra ejecutivos corporativos e individuos de alto patrimonio estaban en aumento, y aproximadamente cuatro de cada 10 encuestados informaron un ataque de suplantación de identidad deepfake.
«Los ataques más comunes implican hacerse pasar por entidades confiables para exigir pagos o información, y una parte importante de los ejecutivos temen que los ataques digitales puedan derivar en daños físicos», dijo Brian Hill, jefe de operaciones de seguridad de BlackCloak, a Cybersecurity Dive.
Según Hill, los ataques de ingeniería social se han vuelto cada vez más invasivos a medida que los piratas informáticos se han dirigido a miembros de la familia y otros contactos personales.
Las empresas y los altos ejecutivos pueden tomar una serie de medidas para proteger mejor sus sistemas de futuros ataques y mejorar su seguridad personal.
Esos pasos incluyen:
- Limite las publicaciones en las redes sociales sobre actividades personales, incluidos viajes.
- Evite exponer al público información sobre miembros de la familia.
- Utilice autenticación multifactor resistente al phishing.
- Utilice métodos fuera de banda para cambios de contraseñas, restablecimientos de MFA e información bancaria.
«Los ejecutivos son cada vez más vulnerables a ataques basados en información que se puede agregar fácilmente en línea sobre ellos mismos, su familia y su empresa», dijo a Cybersecurity Dive Sam Lewis, gerente de inteligencia personalizada de Google Threat Intelligence Group.
Nota del editor: actualizaciones con comentarios adicionales de Co-op.
Fuente