Los piratas informáticos utilizan la ingeniería social para atacar a un experto en operaciones rusas

Se ha revelado un nuevo y sofisticado ciberataque, presuntamente perpetrado por un grupo vinculado al estado ruso. Este innovador método engaña a los usuarios para que creen y proporcionen contraseñas específicas de aplicaciones (ASP), evadiendo medidas de seguridad comunes como la autenticación multifactor ( MFA ).

Este sofisticado ataque fue revelado conjuntamente por Citizen Lab (un grupo de investigación de la Universidad de Toronto) y el Grupo de Inteligencia de Amenazas de Google (GTIG). Su investigación comenzó después de que Keir Giles, reconocido experto en operaciones de información rusas y asociado sénior de Chatham House, contactara a Citizen Lab en busca de ayuda tras ser atacado.

Este nuevo ataque fue diferente del phishing típico. Fue lento y muy convincente. Comenzó el 22 de mayo de 2025, cuando el Sr. Giles recibió un correo electrónico de alguien llamado Claudie S. Weber que se hacía pasar por un funcionario del Departamento de Estado de EE. UU. El correo parecía real, incluso con otras direcciones oficiales en la línea "CC". Los atacantes se tomaron su tiempo, enviando más de diez correos electrónicos en varias semanas para generar confianza. Los expertos creen que podrían haber usado herramientas avanzadas para que sus mensajes sonaran muy naturales.

El truco principal consistía en que el Sr. Giles se registrara en una plataforma falsa de inquilinos invitados con protección contra ataques DoS de MS. Le enviaron un PDF de aspecto profesional con instrucciones. Este PDF lo guió para crear una contraseña específica de la aplicación (ASP) para su cuenta de Google.

Para su información, un ASP es un código especial de 16 dígitos para aplicaciones antiguas que no funcionan con la seguridad moderna. Los hackers hicieron creer que este ASP le permitiría acceder a un sistema gubernamental seguro, pero en realidad les dio control total sobre sus cuentas.

GTIG ha identificado al grupo responsable de estos ataques como UNC6293. Creen, con cierta certeza, que UNC6293 está vinculado a APT29 (también conocido como Cozy Bear ), un grupo de ciberespionaje vinculado al Servicio de Inteligencia Exterior de Rusia (SVR). Google detectó posteriormente el ataque a las cuentas del Sr. Giles, tomó medidas para protegerlas y desactivó la dirección de correo electrónico del atacante.

Este incidente pone de manifiesto una creciente preocupación: a medida que la seguridad estándar, como la autenticación multifactor (MFA), se vuelve más común, los atacantes encuentran nuevas formas de evadirla. Los expertos prevén más ataques de ingeniería social dirigidos a contraseñas específicas de aplicaciones.

Se recomienda a los equipos de ciberseguridad que presten atención al uso de los ASPS en sus organizaciones y que informen a los usuarios sobre estos nuevos riesgos. Google ya está trabajando para eliminar gradualmente los ASP para usuarios empresariales en Google Workspaces, pero aún busca un equilibrio entre la seguridad y las necesidades de los usuarios en sus cuentas personales de Gmail.