AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### El auge de los kits de phishing personalizados amenaza la seguridad de Okta SSO con ataques de vishing

admin

#### Introducción

Okta, uno de los principales proveedores de soluciones de gestión de identidades y accesos (IAM), ha emitido una alerta dirigida a profesionales de ciberseguridad sobre una nueva oleada de ataques de ingeniería social. En este caso, los atacantes están utilizando kits de phishing personalizados, diseñados específicamente para facilitar ataques de vishing (phishing por voz), cuyo objetivo es comprometer credenciales de inicio de sesión único (SSO) de Okta y acceder a datos corporativos sensibles. El uso de estos kits en campañas activas marca una evolución significativa en las tácticas de los ciberdelincuentes, poniendo en jaque los controles de seguridad tradicionales.

#### Contexto del Incidente

El incremento de los ataques dirigidos a plataformas de SSO como Okta se enmarca en una tendencia más amplia de sofisticación en las amenazas de ingeniería social. En los últimos meses, varios equipos de respuesta a incidentes han detectado campañas en las que los adversarios emplean técnicas de vishing para ganarse la confianza de empleados y obtener credenciales legítimas de acceso. Según fuentes de BleepingComputer, estos ataques no solo buscan la exfiltración de datos, sino también la escalada de privilegios y el movimiento lateral dentro de los entornos corporativos, afectando de manera directa la superficie de exposición de organizaciones de todos los sectores.

#### Detalles Técnicos

La campaña actualmente en curso explota kits de phishing diseñados ad hoc para interactuar con los flujos de autenticación de Okta SSO. Estos kits replican de forma convincente los portales de acceso de Okta, interceptando credenciales en tiempo real. El vector de ataque comienza habitualmente con una llamada telefónica (vishing) durante la cual los atacantes se hacen pasar por personal de soporte técnico o de recursos humanos, solicitando a la víctima que acceda a un enlace específico bajo pretextos urgentes.

El proceso técnico se apoya en el uso de herramientas automatizadas para la entrega de enlaces maliciosos, así como scripts para la recolección y transferencia de credenciales interceptadas. En algunos casos, los atacantes utilizan frameworks como Evilginx2 —conocido por su capacidad de proxy inverso para robar tokens de autenticación multifactor (MFA)— y adaptan plantillas para burlar la protección de doble factor. Se han observado TTPs alineados con las técnicas MITRE ATT&CK T1566.002 (Phishing: Spearphishing via Service), T1110 (Brute Force) y T1078 (Valid Accounts). Los indicadores de compromiso (IoC) detectados incluyen dominios typosquatted, URLs con parámetros personalizados y direcciones IP asociadas a servicios de proxy anónimos.

No se han asignado aún CVEs específicos para estos kits, dado que explotan debilidades en los procesos de autenticación y no vulnerabilidades técnicas en Okta. Sin embargo, la automatización y personalización de los kits incrementan la eficacia de campañas dirigidas.

#### Impacto y Riesgos

El impacto de estas campañas es considerable. Según estimaciones recientes, un 32% de las empresas que utilizan Okta han sido blanco de intentos de vishing en el último trimestre, con una tasa de éxito superior al 6%. El robo de credenciales SSO puede permitir el acceso a aplicaciones críticas (correo, ERP, CRM), lo que expone información confidencial, activos financieros y datos personales sujetos a GDPR.

Además, los riesgos no se limitan a la pérdida de datos: los atacantes pueden utilizar el acceso obtenido para desplegar ransomware, realizar fraudes internos o preparar ataques de mayor envergadura. La dificultad de detectar el uso de credenciales legítimas, combinada con la capacidad de saltarse protecciones MFA, complica la respuesta y la contención.

#### Medidas de Mitigación y Recomendaciones

Para minimizar la exposición y mitigar estos ataques, los expertos recomiendan:

1. **Formación continua y simulada**: Realizar campañas periódicas de concienciación sobre ingeniería social y vishing, integrando ejemplos de ataques reales.
2. **Hardening de autenticación**: Aplicar políticas de acceso condicional, implementar MFA robusto basado en hardware (FIDO2, YubiKey) y monitorizar intentos de acceso anómalos.
3. **Monitorización avanzada**: Utilizar soluciones SIEM/SOAR para la detección de patrones inusuales y correlación de eventos, así como la integración de detección de IoCs asociados a estos kits.
4. **Revisión de flujos de soporte**: Auditar los procesos de soporte técnico para evitar que empleados sean engañados por falsas urgencias o solicitudes atípicas.
5. **Despliegue de políticas de Zero Trust**: Adoptar el paradigma Zero Trust, limitando privilegios y exigiendo verificación continua de identidad.
6. **Revisión contractual y legal**: Asegurar que los acuerdos con proveedores cumplen con las obligaciones de notificación y respuesta establecidas en GDPR y NIS2.

#### Opinión de Expertos

Según Rubén Santamaría, analista de amenazas en el sector financiero, “el vishing es especialmente efectivo porque explota la confianza y el desconocimiento, y los kits de phishing personalizados eliminan barreras técnicas que antes protegían los entornos SSO. La defensa pasa por combinar tecnología, procesos y cultura organizativa”.

Desde el CERT de una gran empresa tecnológica, advierten: “El uso de proxies inversos y la interceptación de tokens MFA es una tendencia al alza. Ningún sistema MFA basado en SMS o correo electrónico debería considerarse seguro en este contexto”.

#### Implicaciones para Empresas y Usuarios

El auge de estos ataques obliga a las empresas a revisar urgentemente sus políticas de gestión de identidades, invertir en tecnologías de autenticación avanzada y reforzar la formación de los usuarios. La exposición a brechas puede acarrear sanciones regulatorias severas bajo el RGPD y la directiva NIS2, además de daños reputacionales y económicos (el coste medio de una brecha supera los 4,5 millones de euros según IBM 2023).

#### Conclusiones

La aparición de kits de phishing personalizados para vishing dirigidos a Okta SSO evidencia la sofisticación y persistencia de los atacantes. La combinación de ingeniería social y herramientas técnicas avanzadas desafía los controles tradicionales, exigiendo una respuesta integral desde todos los niveles de la organización. La anticipación, la monitorización proactiva y la formación continua se erigen como las mejores defensas frente a una amenaza en constante evolución.

(Fuente: www.bleepingcomputer.com)