AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

Acceso ilícito a redes corporativas: detenido un broker que comprometió más de 50 empresas

admin

Introducción

En un caso que pone de manifiesto la creciente amenaza que representan los “access brokers” en el ecosistema del cibercrimen, las autoridades estadounidenses han conseguido que un ciudadano jordano se declare culpable de vender el acceso no autorizado a las redes internas de más de cincuenta empresas de distintos sectores. Este suceso ilustra cómo los brokers de acceso se han consolidado como actores clave en la cadena de ataques de ransomware y exfiltración de datos, facilitando el trabajo posterior de grupos criminales más sofisticados.

Contexto del Incidente

El acusado, residente en Jordania, operaba en foros clandestinos ofreciendo credenciales y accesos persistentes a sistemas corporativos comprometidos, permitiendo a terceros desplegar ransomware, robar información confidencial o sabotear operaciones empresariales. El periodo de actividad del broker abarca al menos desde 2020 hasta finales de 2023, coincidiendo con el auge de la economía del cibercrimen como servicio (CaaS).

El acceso se conseguía, en la mayoría de los casos, mediante el compromiso de credenciales RDP (Remote Desktop Protocol), VPN o cuentas privilegiadas, aprovechando vulnerabilidades conocidas, configuraciones inseguras y la falta de MFA (autenticación multifactor). Posteriormente, los accesos eran monetizados en mercados como Genesis Market, Russian Market y Exploit, por precios que oscilaban entre 500 y 10.000 dólares en función del perfil de la víctima y los privilegios obtenidos.

Detalles Técnicos

Según la acusación formal, el acusado logró comprometer al menos 50 compañías, principalmente en Estados Unidos y Europa, pertenecientes a sectores como manufactura, servicios financieros, salud y logística. La técnica principal empleada consistía en el escaneo masivo de direcciones IP expuestas, seguido de ataques de fuerza bruta o explotación de vulnerabilidades conocidas (por ejemplo, CVE-2019-0708 BlueKeep, CVE-2020-0609/0610 para RDP, o CVE-2021-26855 ProxyLogon en Exchange).

Una vez dentro, el acceso era persistente gracias a la creación de cuentas administrativas ocultas o la instalación de backdoors (con herramientas como Cobalt Strike Beacon o Metasploit Meterpreter). Los TTPs observados corresponden a las técnicas TA0001 (Initial Access), TA0003 (Persistence) y TA0006 (Credential Access) del framework MITRE ATT&CK. Los Indicadores de Compromiso (IoC) incluyen patrones de tráfico anómalos en RDP, VPN desde ASNs inusuales, presencia de shells reversos y artefactos de Cobalt Strike.

No se descarta que parte de los accesos vendidos hayan sido aprovechados por grupos afiliados a ransomware como LockBit, Conti o BlackCat, dada la coincidencia temporal y geográfica de los incidentes.

Impacto y Riesgos

Los acceso brokers representan una amenaza transversal: no sólo facilitan el despliegue de ransomware, sino que también alimentan campañas de espionaje industrial y fraude financiero a escala global. En este caso, se estima que los accesos vendidos han causado daños económicos superiores a los 10 millones de dólares en pérdidas directas y costes asociados a la respuesta y recuperación.

Las organizaciones afectadas han enfrentado interrupciones operativas, robo de propiedad intelectual y exposición de datos personales, lo que puede derivar en sanciones regulatorias bajo normativas como el GDPR o la próxima NIS2 en la Unión Europea. El riesgo reputacional y la pérdida de confianza de clientes y socios estratégicos constituyen impactos adicionales de difícil cuantificación.

Medidas de Mitigación y Recomendaciones

El incidente subraya la necesidad de implementar controles robustos para proteger el acceso remoto y limitar la superficie de ataque. Entre las principales recomendaciones:

– Desplegar MFA obligatorio para todos los accesos remotos (RDP, VPN, portales de administración).
– Monitorizar y limitar el acceso RDP desde direcciones IP externas; preferir el uso de VPN securizadas y segmentadas.
– Auditar periódicamente las cuentas privilegiadas y revisar logs de acceso en busca de patrones anómalos.
– Actualizar con regularidad sistemas y aplicaciones, priorizando la corrección de vulnerabilidades explotadas frecuentemente (CVE-2019-0708, CVE-2021-26855, etc.).
– Emplear honeypots y sistemas EDR/XDR para la detección temprana de movimientos laterales y persistencia.
– Formar al personal en buenas prácticas de ciberseguridad, especialmente en la gestión de contraseñas.

Opinión de Expertos

“Los access brokers han profesionalizado el acceso inicial, convirtiéndolo en un producto accesible para cualquier actor con motivación y recursos”, advierte Pablo González, CISO de una firma europea de ciberseguridad. “La colaboración internacional y el intercambio de inteligencia son clave, pero las empresas deben asumir que la exposición es cada vez mayor y adoptar una mentalidad de zero trust”.

Por su parte, analistas de amenazas señalan que el arresto de brokers individuales apenas afecta a la oferta global, dado el alto grado de descentralización y anonimato de estos mercados.

Implicaciones para Empresas y Usuarios

La tendencia al alza de la venta de accesos compromete tanto a grandes corporaciones como a pymes, que suelen carecer de recursos para una defensa avanzada. La legislación europea (GDPR, NIS2) incrementa la presión sobre los responsables de seguridad, que deben acreditar la diligencia debida en la protección de sistemas y datos.

La irrupción de brokers de acceso como intermediarios acelera el ciclo de vida de los ataques y permite la especialización de los grupos criminales, fragmentando la cadena de valor del delito y dificultando su persecución.

Conclusiones

El caso del broker jordano subraya el papel central de los accesos comprometidos en la economía del cibercrimen actual. Mitigar este riesgo requiere una combinación de tecnología, procesos y concienciación, así como la colaboración entre sector público y privado. La vigilancia proactiva y la rápida respuesta ante incidentes son esenciales para minimizar el impacto de este tipo de amenazas, que seguirán creciendo en sofisticación y alcance.

(Fuente: www.bleepingcomputer.com)