En el panorama de la ciberseguridad, una tendencia inquietante emerge: cazadores dispersos vinculados a LAPSUS$ están apuntando a grandes empresas con ataques de voz (vishing) cada vez más sofisticados. Estos ataques aprovechan la confianza que se deposita en una llamada telefónica y combinan técnicas de ingeniería social con suplantación de identidad para obtener acceso a credenciales, autorizaciones o información sensible. Entender la mecánica de estas campañas es clave para generar una defensa efectiva en las organizaciones modernas.

Qué es el vishing y por qué es tan eficaz
El vishing es una forma de ingeniería social que busca manipular a las personas para que divulguen datos confidenciales o realicen acciones que comprometan la seguridad. A diferencia de los correos electrónicos de phishing, el atacante toma la voz como canal principal, lo que facilita ganar credibilidad mediante tono, jerga corporativa y explicaciones convincentes. En campañas recientes, los atacantes se hacen pasar por personal de TI, proveedores de servicios o incluso ejecutivos de alto nivel, y suelen invocar procesos internos para justificar sus solicitudes. La combinación de conocimiento del negocio, capacidad para “hablar” la jerga interna y la presión de un plazo corto aumenta la probabilidad de que la víctima ceda ante la petición.

Cómo operan estos ataques en grandes firmas
Aunque cada campaña puede variar, la estructura típica de un ataque de vishing dirigido a una gran empresa incluye:
– Preparación y reconocimiento: el atacante estudia estructuras organizativas, procesos de aprobación y contactos clave para adaptar su pretexto.
– Apertura de la llamada: se establece una conversación convincente para generar confianza y reducir la resistencia de la víctima.
– Solicitud de acceso o información crítica: se buscan credenciales, códigos de un solo uso (OTP), o cambios de pago/transferencias.
– Puerta de salida y la escalada de privilegios: con la información obtenida, el atacante intenta ampliar su alcance, a veces solicitando pasos adicionales o credenciales temporales.

Impacto potencial para las grandes empresas
Las llamadas de vishing pueden facilitar brechas de seguridad que resultan en pérdidas financieras, compromisos de datos y daño reputacional. Las grandes firmas, con procesos de aprobación complejos y múltiples capas de autorización, presentan superficies de ataque atractivas para actores que buscan impacto rápido. Además, la presencia creciente de trabajo remoto ha ampliado las superficies por las que un atacante puede intentar iniciar una conversación convincente, aprovechando inconsistencias en las verificaciones de identidad o en los protocolos de cambio de datos sensibles.

Señales de alerta que deben vigilar las organizaciones
– Pedidos urgentes de cambios de datos críticos (cuentas bancarias, proveedores o direcciones de pago) solicitados por teléfono.
– Solicitudes de credenciales, códigos OTP o aprobaciones sin la presencia física del solicitante.
– Intentos de eludir procesos de verificación estableciendo un “canalTrust” para justificar por qué no pueden seguir el procedimiento habitual.
– Mensajes que presionan para evitar verificaciones de seguridad o para que se verifique la identidad a través de un único canal de comunicación.
– Coherencia cuestionable en el pretexto (información de rutina que no encaja con el contexto reciente del negocio).

Qué pueden hacer las empresas para mitigar estos riesgos
– Refuerzo de la verificación de identidad: establecer procesos de verificación de cambios sensibles mediante múltiples canales y, cuando sea posible, autenticación basada en factores físicos o biométricos. Implementar soluciones de autenticación phishing-resistant (p. ej., FIDO2/WebAuthn).
– Verificación de cambios críticos por un canal separado: exigir que cambios de pagos, transferencias o acceso privilegiado pasen por una llamada de verificación adicional a través de un número de confianza conocido, preferiblemente verificado de forma independiente.
– Capacitación continua y ejercicios de simulación: entrenar a los empleados para reconocer señales de vishing, fortalecer la cultura de verificación y realizar simulaciones regulares para medir la resiliencia del equipo.
– Políticas claras y procedimientos de escalamiento: documentar cuándo y cómo deben escalarse solicitudes inusuales, con rutas de verificación formales y tiempos de espera para la confirmación.
– Monitoreo y detección: poner en marcha indicadores de seguridad para detectar patrones anómalos de llamadas o solicitudes inusuales, integrando telemetría de voz con las plataformas de seguridad existentes.
– Gestión de proveedores y terceros: evaluar el riesgo de terceros, aplicar acuerdos de servicio que exijan controles de identidad para cambios y revisar regularmente las listas de contactos autorizados.
– Tecnología de apoyo: considerar soluciones de seguridad para voz y autenticación de llamadas, como verificación de identidad por voz, registro de llamadas y herramientas de correlación entre eventos de seguridad y telecomunicaciones.

Buenas prácticas para respuesta ante incidentes
Si ocurre un incidente de vishing, una respuesta estructurada puede reducir el daño: definir un plan de contención inmediato, aislar credenciales comprometidas, rotar contraseñas y credenciales de acceso, y activar el equipo de seguridad para investigar y contener la brecha. Es crítico conservar registros de las comunicaciones y realizar un análisis para entender el alcance, identificar víctimas y fortalecer controles para evitar recurrencias. Por último, comunicar de forma transparente a las partes afectadas y cumplir con las obligaciones regulatorias de notificación cuando corresponda.

Un enfoque de defensa en capas para una era de confianza cero
La amenaza de vishing subraya la necesidad de mirar más allá de la seguridad tecnológica y adoptar un enfoque de seguridad centrado en las personas, los procesos y la tecnología. Implementar principios de Zero Trust, limitar privilegios, segmentar redes y establecer controles de verificación de identidad en puntos críticos son pasos clave para reducir la exposición ante ataques de ingeniería social.

Conclusión
Los ataques de vishing dirigidos a grandes firmas, impulsados en parte por actores asociados a LAPSUS$, exigen una postura proactiva y educativa. No es suficiente depender de la tecnología; las personas deben ser apoyadas por procesos rigurosos y una cultura de verificación constante. Con capacitación adecuada, protocolos de verificación robustos y una monitorización inteligente, las organizaciones pueden disminuir significativamente la probabilidad de caer en estas trampas y responder de forma eficaz cuando ocurren incidentes. Si su empresa todavía no ha revisado sus procedimientos de verificación para cambios sensibles, este es un momento oportuno para hacerlo y fortalecer una defensa integral.

from Latest from TechRadar https://ift.tt/rdg3p6C
via IFTTT IA