La estafa de falsas ofertas de empleo se reinventa: ataques con RMM a través de Zoom y Teams

Introducción

El panorama de amenazas en el ámbito de la ciberseguridad sigue evolucionando, y las campañas de ingeniería social continúan perfeccionándose para sortear los controles de seguridad tradicionales. Recientemente, Proofpoint ha detectado un incremento significativo en campañas maliciosas que aprovechan plataformas legítimas como Zoom y Microsoft Teams para distribuir software de gestión remota (RMM) bajo el pretexto de entrevistas laborales. Este modus operandi, que mezcla técnicas de phishing dirigidas y la utilización de herramientas legítimas, representa una amenaza especialmente compleja para las organizaciones, ya que dificulta la detección y respuesta ante incidentes.

Contexto del Incidente o Vulnerabilidad

Durante los últimos meses, los equipos de threat intelligence de Proofpoint han observado un resurgimiento de la conocida estafa de falsas ofertas de empleo, esta vez con un enfoque mucho más sofisticado. Los atacantes envían correos electrónicos personalizados, suplantando a reclutadores o responsables de recursos humanos de empresas reconocidas, invitando a los candidatos a participar en entrevistas virtuales. A diferencia de anteriores campañas, en las que se solicitaban descargas de documentos maliciosos o se solicitaba información confidencial de forma directa, el vector de ataque actual utiliza enlaces legítimos de Zoom o Teams para incrementar la credibilidad del mensaje.

Durante estas supuestas entrevistas, los atacantes convencen a las víctimas para que descarguen e instalen aplicaciones de software de acceso remoto, principalmente AnyDesk, ScreenConnect, TeamViewer o incluso versiones modificadas de Remote Utilities. El objetivo es obtener control total sobre el sistema de la víctima, permitiendo desde el robo de credenciales hasta la exfiltración de datos sensibles o el acceso a activos corporativos.

Detalles Técnicos

La campaña identificada por Proofpoint no está asociada de momento a una vulnerabilidad específica (no existe CVE registrado), sino que explota la confianza en herramientas de videoconferencia y la legitimidad de aplicaciones RMM. Los atacantes utilizan TTPs (tácticas, técnicas y procedimientos) bien definidos en el marco MITRE ATT&CK:

– **T1566.001 – Phishing: Spearphishing Attachment/Link:** El ataque comienza con un correo electrónico dirigido, empleando técnicas de spoofing de dominio y lenguaje personalizado para cada víctima.
– **T1204.002 – User Execution: Malicious File:** Durante la videollamada, el atacante guía a la víctima para descargar e instalar el software RMM, que no suele ser detectado por los antivirus al tratarse de aplicaciones legítimas.
– **T1078 – Valid Accounts & T1059 – Command and Scripting Interpreter:** Una vez en la máquina, el atacante puede robar credenciales y ejecutar scripts para persistencia o movimiento lateral.

Indicadores de Compromiso (IoCs) identificados incluyen URLs de descarga de instaladores RMM, hashes de binarios maliciosos y direcciones IP de C2 asociadas a sesiones remotas. Se ha observado el uso de frameworks como Metasploit y Cobalt Strike en fases posteriores, especialmente para la escalada de privilegios y la exfiltración de información.

Impacto y Riesgos

El impacto potencial de estas campañas es significativo. Según datos de Proofpoint, aproximadamente un 12% de las organizaciones analizadas han detectado intentos de acceso remoto no autorizado originados tras entrevistas simuladas. El riesgo es doble: por un lado, el robo directo de información confidencial (credenciales, información financiera, datos personales protegidos por GDPR) y, por otro, la posibilidad de que el atacante realice fraudes económicos, como transferencias no autorizadas o desvío de nóminas.

Además, la utilización de herramientas legítimas dificulta la acción de los sistemas EDR y los controles tradicionales de seguridad, lo que incrementa la ventana de exposición. El coste medio de un incidente de este tipo, según estimaciones del sector, puede oscilar entre 15.000 y 70.000 euros, dependiendo de la criticidad de los activos accedidos y de las obligaciones regulatorias (GDPR, NIS2).

Medidas de Mitigación y Recomendaciones

Para minimizar el impacto de esta amenaza, los expertos recomiendan:

– **Formación continua:** Realizar campañas de concienciación sobre ingeniería social, phishing y técnicas de suplantación.
– **Restricción de software RMM:** Limitar la instalación y ejecución de herramientas de acceso remoto solo a personal autorizado y a través de whitelisting.
– **Monitorización avanzada:** Implementar soluciones EDR capaces de detectar comportamientos anómalos asociados al uso no autorizado de RMM.
– **Segmentación de redes:** Reducir la superficie de ataque dificultando el movimiento lateral tras una intrusión.
– **Políticas de Zero Trust:** Adoptar modelos donde la confianza nunca se presupone, incluso para conexiones aparentemente legítimas.

Opinión de Expertos

Analistas de Proofpoint y consultores independientes coinciden en que el éxito de estas campañas radica en la combinación de técnicas de ingeniería social avanzadas y el uso de herramientas legítimas. “No basta con bloquear correos sospechosos; la concienciación y la vigilancia activa son claves”, señala María Rodríguez, CISO de una multinacional tecnológica. “Las soluciones de seguridad deben adaptarse a un escenario donde el software legítimo puede ser el vector del ataque”.

Implicaciones para Empresas y Usuarios

Las empresas deben revisar urgentemente sus políticas de recursos humanos y sus procedimientos de onboarding para evitar que candidatos y empleados sean víctimas de este tipo de fraudes. A nivel de cumplimiento normativo, la exfiltración de datos personales podría desencadenar sanciones bajo el RGPD y NIS2, especialmente si no se han aplicado medidas técnicas y organizativas adecuadas. Para los usuarios, la amenaza reside en la posible suplantación de identidad y el robo de fondos personales.

Conclusiones

Las campañas de falsas ofertas de trabajo que aprovechan plataformas de videoconferencia y herramientas RMM legítimas representan una evolución preocupante en el ecosistema del cibercrimen. La sofisticación de las técnicas empleadas exige a las organizaciones reforzar tanto la formación de usuarios como los controles técnicos y procedimentales. Mantenerse actualizado sobre las tácticas emergentes y aplicar una política de Zero Trust resultan imprescindibles para minimizar el riesgo y el impacto de estos ataques.

(Fuente: www.cybersecuritynews.es)