En un entorno empresarial en constante evolución, el riesgo relacionado con la cadena de suministro está aumentando de manera alarmante. Recientemente, un informe de Verizon reveló que la participación de terceros en violaciones de datos se duplicó en el último año, alcanzando un preocupante 30%. Este riesgo no se limita a componentes de código abierto o software propietario, sino que también abarca el potencial de que un proveedor externo de servicios de TI sea la fuente de una filtración significativa.
Grandes marcas están comenzando a experimentar las consecuencias de ataques sofisticados dirigidos a sus servicios de asistencia técnica subcontratados, con técnicas como el «vishing» a la cabeza de los métodos utilizados por los ciberdelincuentes. La solución radica en implementar defensas en múltiples capas, realizar la debida diligencia y proporcionar una capacitación sólida en ciberseguridad.
Los servicios de asistencia subcontratados son, por naturaleza, un objetivo atractivo. Estos equipos, que buscan maximizar la eficiencia operativa, pueden realizar acciones críticas, como restablecer contraseñas o desactivar la autenticación multifactorial. Esto les otorga a los atacantes las herramientas necesarias para obtener acceso no autorizado a los recursos de la red. Para triunfar, solo necesitan convencer al personal del helpdesk de que son empleados legítimos.
Existen varios factores que hacen que estos servicios sean cada vez más vulnerables a los ataques. Primero, es común que el personal de asistencia técnica esté compuesto por profesionales de nivel inicial sin la experiencia necesaria para reconocer intentos de ingeniería social complejos. Además, los empleados pueden estar predispuestos a satisfacer las solicitudes de los usuarios, lo que hace que sea más fácil para los atacantes manipular la situación. La creciente complejidad de los entornos tecnológicos y la presión corporativa también contribuyen a crear oportunidades para los ciberdelincuentes.
Los ataques de ingeniería social en los servicios de asistencia no son nuevos. Un caso prominente ocurrió en 2019, cuando un atacante logró acceder a la cuenta de Twitter del entonces CEO Jack Dorsey haciendo que un empleado de servicio al cliente en su operador móvil transfiriera su número a una nueva tarjeta SIM. Más recientemente, el grupo LAPSUS$ comprometió varias organizaciones de renombre como Samsung y Microsoft al dirigirse al personal de su helpdesk. Además, se conoce que el ataque a MGM Resorts en 2023, realizado por el colectivo Scattered Spider, les costó a la compañía aproximadamente 100 millones de dólares.
La proliferación de estos ataques muestra que incluso grupos cibernéticos de gran nivel están reclutando hablantes nativos de inglés para llevar a cabo sus operaciones, un signo de alarma para cualquier líder de seguridad en organizaciones que subcontratan sus servicios de asistencia. Las lecciones aprendidas de estos incidentes son claras: es fundamental realizar una exhaustiva investigación sobre los proveedores, implementando técnicas de autenticación estrictas, políticas de menor privilegio, y capacitando continuamente al personal.
Para mitigar los riesgos, las organizaciones deben adoptar un enfoque holístico que combine la experiencia humana con la excelencia técnica. Esto incluye fortalecer las políticas de seguridad, realizar simulaciones de amenazas y utilizar herramientas de detección y respuesta. Servicios de detección y respuesta gestionados (MDR), como los que ofrece ESET, pueden ser un recurso invaluable para que las empresas externalicen su seguridad de manera efectiva, permitiéndoles concentrarse en ofrecer un servicio de asistencia de calidad mientras un equipo de expertos supervisa constantemente cualquier señal de alerta.
Fuente: WeLiveSecurity by eSet.
