Los piratas informáticos utilizan llamadas falsas de soporte técnico para vulnerar los sistemas corporativos y de Google.

Un grupo de piratas informáticos con motivaciones económicas, conocido como UNC6040, está utilizando una táctica simple pero efectiva para violar entornos empresariales: levantar el teléfono y hacerse pasar por soporte informático, simplemente llamado phishing de voz (Vishing) .

Según un nuevo informe del Grupo de Inteligencia de Amenazas de Google (GTIG), este actor se ha hecho pasar por personal técnico interno en ataques de ingeniería social telefónicos. Su objetivo es engañar a los empleados, principalmente en sucursales angloparlantes de empresas multinacionales, para que les concedan acceso a sistemas sensibles, en particular a Salesforce , una plataforma de gestión de relaciones con los clientes (CRM) ampliamente utilizada.

La UNC6040 no se basa en exploits ni vulnerabilidades de seguridad. En cambio, se basa en errores humanos . Los atacantes llaman a los empleados y les explican cómo aprobar una aplicación conectada dentro de Salesforce. Pero no se trata de una aplicación cualquiera, sino que suele ser una versión modificada de la herramienta legítima Data Loader de Salesforce.

Con este acceso, los atacantes pueden consultar y extraer grandes cantidades de datos de la organización objetivo. En algunos casos, disfrazan la herramienta como "My Ticket Portal", un nombre que se ajusta al tema de soporte de TI de la estafa.

Una vez concedido el acceso, UNC6040 extrae los datos por etapas. A veces, comienzan con datos pequeños para evitar la detección, utilizando consultas de prueba y lotes limitados. Si el sondeo inicial pasa desapercibido, amplían la operación y comienzan una exfiltración de gran volumen.

Curiosamente, el robo de datos no siempre conlleva demandas inmediatas. En varios incidentes, transcurrieron meses antes de que las víctimas recibieran mensajes de extorsión. En dichos mensajes, los atacantes afirmaban estar asociados con el conocido grupo de hackers ShinyHunters , una medida probablemente destinada a presionar a las víctimas para que pagaran.

Este enfoque tardío sugiere que UNC6040 podría estar trabajando con otros actores especializados en monetizar datos robados. Ya sea que vendan el acceso o entreguen los datos para ataques posteriores, la larga pausa dificulta la detección y respuesta a incidentes para los equipos de seguridad.

Aunque el objetivo principal es Salesforce, las ambiciones del grupo no terminan ahí. Una vez obtenidas las credenciales, se ha observado que UNC6040 se mueve lateralmente a través de los sistemas corporativos, atacando plataformas como Okta y Microsoft 365. Este acceso más amplio les permite recopilar datos valiosos adicionales, consolidar su presencia y generar influencia para futuros intentos de extorsión.

GTIG recomienda tomar algunas medidas claras para reducir la probabilidad de este tipo de infracciones. En primer lugar, limite el acceso a herramientas potentes como Data Loader. Solo los usuarios que realmente lo necesiten deben tener permisos, y estos deben revisarse periódicamente. También es importante gestionar qué aplicaciones conectadas pueden acceder a su configuración de Salesforce; cualquier aplicación nueva debe pasar por un proceso de aprobación formal.

Para evitar el acceso no autorizado, especialmente de atacantes que usan VPN, los inicios de sesión y las autorizaciones de aplicaciones deben restringirse a rangos de IP de confianza. La monitorización es otro elemento clave: plataformas como Salesforce Shield pueden detectar y reaccionar ante exportaciones de datos a gran escala en tiempo real. Si bien la autenticación multifactor ( MFA ) no es perfecta, sigue siendo fundamental en la protección de las cuentas, especialmente cuando los usuarios están capacitados para detectar trucos como las llamadas de phishing que intentan eludirla.