En muchos sentidos fue una conversación normal. Un empleado que trabajaba para un servicio de asistencia técnica atendió una llamada, se presentó y preguntó: “¿Se trata de un ticket nuevo o existente?”. La persona que llamó, que parecía un estadounidense de unos 20 años, explicó que estaba teniendo problemas para iniciar sesión en su cuenta. “No sé cómo restablecer mi contraseña, así que llamo para que me ayudes a restablecerla”. La persona que llamó proporcionó su nombre y coincidió con el de un empleado en la plantilla.
“La cuenta debería estar bien”, añadió la persona que llamó. “Quiero decir, no la he bloqueado, solo es el problema de la contraseña”.
“Entiendo”, respondió el empleado del servicio técnico. “Sí, puedo restablecerla por ti”.
Y así, sin saberlo, el empleado había sido engañado por un miembro de Scattered Spider, una conocida banda de hackers que se cree está detrás de los recientes ataques contra MGM Resorts International, Caesars Entertainment, Coinbase y otros. Los detalles de la llamada fueron compartidos por una persona familiarizada con el incidente que pidió no ser identificada.
Scattered Spider, al que algunos expertos en seguridad también se refieren como UNC3944, es un grupo que destaca en “ingeniería social”, el arte de engañar a alguien para que proporcione información que puede usarse con fines ilícitos, como penetrar una red informática. En un momento en que las naciones y las grandes corporaciones luchan contra ataques altamente sofisticados, el éxito de Scattered Spider ha demostrado que los métodos rudimentarios siguen siendo efectivos.
La llamada al servicio de soporte técnico se ajusta a un patrón observado por Charles Carmakal, director de tecnología de la empresa de ciberseguridad Mandiant. Carmakal dice que ha escuchado más de cien grabaciones de audio de hackers de Scattered Spider que intentaban embaucar a representantes de servicio al cliente y trabajadores de TI con llamadas telefónicas engañosas. Algunos de los hackers son “muy agresivos”, dice, y hacen que el empleado del call center “sienta que lo van a despedir o que se va a meter en problemas”.
Una vez que los hackers logran entrar, a menudo dedican “un tiempo considerable” a buscar documentos, recursos y registros de chat internos para encontrar formas de acceder a más información y permanecer dentro de la red de la víctima, según Mandiant.
Scattered Spider surgió en 2022 y la empresa de ciberseguridad Crowdstrike Holdings Inc. le ha atribuido al menos 52 ciberataques desde entonces. Se cree que sus miembros se encuentran en Estados Unidos y Reino Unido, y que algunos de ellos apenas tienen 19 años. Jeff Lunglhofer, director de seguridad de la información de Coinbase Global Inc., refiere que en varias ocasiones se ha topado con hackers que sospecha son parte de Scattered Spider. “Son hombres jóvenes y elocuentes. Rápidos para responder, incluso ingeniosos”, dice.
Lunglhofer detalló cómo los hackers, presumiblemente de Scattered Spider, enviaron mensajes de texto a los teléfonos personales de una docena de empleados de Coinbase, proporcionándoles un enlace falso al portal de la empresa e instándolos a iniciar sesión para recibir un mensaje corporativo importante. Un empleado siguió las instrucciones y, sin darse cuenta, proporcionó a los ciberdelincuentes un nombre de usuario y contraseña. Los hackers no pudieron acceder a la cuenta del empleado porque Coinbase requiere autenticación multifactor. Sin desalentarse, un hacker llamó al empleado poco después. Afirmando ser un empleado de TI, el hacker persuadió a la persona para que le proporcionara los datos de contacto de algunos colegas.
No se perdieron fondos y la información de los clientes no se vio comprometida por el ataque, afirma la compañía. Con todo, fue una advertencia, como señaló Lunglhofer en un blog del 17 de febrero. “Si crees que una campaña de ingeniería social bien ejecutada no te puede engañar, te equivocas”, escribió.
En la conferencia anual de hackers Def Con, cada año se celebra un concurso en el que expertos en hacking juzgan la destreza en ingeniería social de los equipos competidores mientras se les aisla en una cabina insonorizada y compiten para introducirse en una empresa. A los competidores se les informa su objetivo (este año fue una conocida franquicia de pizzas) y se les da dos meses para investigar, para buscar por ejemplo números de teléfono y detalles sobre los sistemas tecnológicos de la empresa. Patrocinado por IBM y la empresa de seguridad Proofpoint, el concurso tiene reglas estrictas en materia de ética, incluido no nombrar al objetivo públicamente, y también está prohibido utilizar lenguaje amenazante y extraer información personal identificatoria de los empleados.
En el concurso de este año, Jason Puglisi, un joven ingeniero de seguridad de aplicaciones de Block, entró en la cabina con un iPad cargado con un informe de 50 páginas sobre la empresa objetivo. Obtuvo puntos haciéndose pasar por un trabajador de TI y persuadió a los recepcionistas para que le dijeran a qué hora eran los turnos de los guardias de seguridad, cómo reemplazaban las credenciales de seguridad y qué tecnología utilizaban las oficinas. “Todo el mundo es vulnerable, en realidad basta con detectar a alguien con la mentalidad adecuada o si está estresado”, afirma.
A veces Puglisi tuvo que desviarse del guion, como cuando la persona a la que contactó le dijo que solo estaba supliendo a alguien y que quizás no podría ayudarlo. “Cuando le dije que él también podía ayudarme, se sintió halagado y compartió todo lo que le pedí”, cuenta.
Las empresas y organizaciones no están indefensas frente a la ingeniería social. David Bradbury, director de seguridad de Okta Inc., cuyos clientes han sido blanco de ataques que se cree provienen de Scattered Spider, aconseja que los call centers limiten la autoridad para restablecer contraseñas o la autenticación multifactor para cuentas altamente privilegiadas a unos pocos empleados de mucha confianza. Lunglhofer de Coinbase señala que su empresa ahora exige que los empleados inicien sesión con un pequeño dispositivo de seguridad tipo USB que proporciona autenticación adicional.
Otra forma que tienen las empresas de protegerse es someter a prueba sus propios sistemas. Scott Melnick, que dirige el departamento de investigación y desarrollo de seguridad de Bulletproof, propiedad de Gaming Labs International, ha asesorado por años a casinos y empresas de juegos sobre ciberseguridad y desarrollo de software. El verano pasado logró penetrar la red informática que gestionaba la caja de efectivo de un casino, donde los clientes recogen sus ganancias.
Los hackers podrían haber utilizado un acceso de ese tipo para instalar un diminuto dispositivo que permite el acceso remoto a la red, afirma Melnick. Finalmente, una cajera desconfiada lo delató (la recomendó para un ascenso en su informe). Melnick dice que es muy importante que los empleados estén atentos a la seguridad y que las empresas deberían hacer que personas externas prueben sus defensas y mantengan a los trabajadores alerta. “Cuando los empleados saben que esto está sucediendo, se vuelven aún más escépticos ante cada llamada”, dice.
Lee aquí la versión más reciente de Businessweek México: