Los investigadores de Proofpoint, compañía líder en ciberseguridad y cumplimiento normativo, han identificado un nuevo incremento en el uso fraudulento de herramientas legítimas de monitorización remota por parte de ciberdelincuentes con el objetivo de secuestrar envíos y sustraer bienes físicos, afectando especialmente a empresas de logística y transporte por carretera.
Según las investigaciones, los atacantes acceden a sistemas corporativos utilizando credenciales robadas para pujar por cargas reales y, posteriormente, apoderarse de ellas. Estas mercancías suelen revenderse en Internet o exportarse al extranjero, generando graves interrupciones en las cadenas de suministro y pérdidas millonarias para las empresas afectadas.
En los incidentes detectados, los delincuentes comprometen cuentas de usuario, intervienen hilos de correo electrónico y publican información sobre cargas falsas. Cuando un transportista responde, reciben correos de phishing que los inducen a descargar archivos maliciosos.
Además del uso de técnicas de ingeniería social, los atacantes instalan software de monitorización y gestión remota (RMM) como ScreenConnect, SimpleHelp o PDQ Connect para mantener acceso persistente a los sistemas comprometidos y evadir la detección, según detalla Proofpoint en sus análisis en curso.
La compañía de ciberseguridad ha rastreado casi dos docenas de campañas maliciosas, desde agosto de 2025, dirigidas tanto a pequeñas empresas familiares como a grandes empresas de transporte. Aunque la investigación está relacionada con casos de robo de mercancías en Estados Unidos, es un problema a mayor escala, que tiene importantes incidencias en otros países, afectando principalmente al sector de alimentación y bebidas.
La transformación digital de las cadenas de suministro ha creado nuevas vulnerabilidades y, por tanto, más oportunidades para los ciberdelincuentes de explotar brechas en la tecnología integrada para mover cargamento de manera más eficiente. Según Proofpoint, los ciberdelincuentes parecen tener conocimiento sobre el software, los servicios y las políticas de estas cadenas de suministro, pero siempre con un mismo propósito: acceder de forma remota al objetivo para sustraer información. Asimismo, el uso de RMM detectado en estos ataques se alinea con un cambio general en el panorama del cibercrimen, donde los ciberdelincuentes adoptan cada vez más estas herramientas como carga útil de primera etapa.
“Los límites entre el cibercrimen y el robo físico se están difuminando, con atacantes explotando cadenas de suministro cada vez más digitalizadas en todo el mundo para conseguir unas ganancias económicas masivas”, señalan los investigadores de amenazas de Proofpoint. “Para defenderse de estas amenazas, recomendamos a posibles organizaciones en riesgo restringir el software RMM no aprobado, fortalecer las protecciones de los endpoints y capacitar a los empleados para que puedan identificar e informar actividades sospechosas”.
