AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Nuevas tácticas de UNC6040: Mandiant desvela defensas proactivas frente a ataques de ingeniería social dirigidos a Salesforce**

admin

### Introducción

En las últimas semanas, Mandiant ha alertado sobre una campaña de ataques dirigidos a organizaciones que utilizan Salesforce, perpetrada por el grupo de amenazas persistentes avanzadas (APT) identificado como UNC6040. Este actor ha empleado sofisticadas técnicas de ingeniería social para comprometer cuentas corporativas, lo que ha resultado en varias brechas notables en entornos de Salesforce. El equipo de Mandiant no solo ha identificado los vectores de ataque, sino que también ha proporcionado recomendaciones técnicas y medidas proactivas para mitigar el riesgo, en un contexto donde la seguridad de los servicios en la nube es prioridad absoluta para los responsables de ciberseguridad.

### Contexto del Incidente

UNC6040, un actor APT con motivaciones económicas y presunta vinculación a grupos de ciberdelincuencia organizados, se ha especializado en ataques dirigidos al ecosistema Salesforce. Desde principios de 2024, se han detectado múltiples incidentes en Europa y Norteamérica, afectando a sectores como retail, servicios financieros y tecnología. Según los informes de Mandiant, al menos un 18% de las organizaciones que utilizan Salesforce en entornos multiusuario han sido objeto de intentos de compromiso, con un impacto económico estimado en más de 9 millones de euros en pérdidas por robo de datos y fraude.

Las campañas de UNC6040 destacan por su uso avanzado de ingeniería social, combinando spear phishing, suplantación de identidad y tácticas de pretexting para obtener credenciales privilegiadas y tokens de acceso a Salesforce. Esto les ha permitido sortear controles tradicionales y acceder a información confidencial, incluyendo datos personales sujetos a GDPR y registros críticos de negocio.

### Detalles Técnicos

Las investigaciones de Mandiant han revelado que UNC6040 explota principalmente la vulnerabilidad CVE-2023-43298, que afecta a determinadas configuraciones de autenticación OAuth en Salesforce, permitiendo la obtención de tokens de acceso tras comprometer sesiones de usuarios legítimos. El vector inicial suele ser el envío de correos electrónicos de spear phishing personalizados, en los que se suplanta la identidad de administradores internos o del propio soporte de Salesforce.

En cuanto a TTP (Tactics, Techniques, and Procedures), los analistas han mapeado las siguientes técnicas asociadas al framework MITRE ATT&CK:

– **Initial Access (T1566.001)**: Phishing dirigido con enlaces maliciosos que simulan portales de autenticación de Salesforce.
– **Credential Access (T1110, T1556.003)**: Uso de técnicas de credential stuffing y manipulación de flujos OAuth.
– **Persistence (T1136.003)**: Creación de cuentas o aplicaciones OAuth no autorizadas para mantener el acceso.
– **Defense Evasion (T1027, T1070.004)**: Ofuscación de scripts y eliminación de logs de conexiones.
– **Exfiltration (T1041)**: Extracción masiva de datos a servidores controlados por los atacantes.

Entre los IoC (Indicators of Compromise) identificados, destacan dominios de phishing registrados recientemente, IPs asociadas a servicios de anonimización en Europa del Este, y patrones inusuales de autenticación en logs de Salesforce. Herramientas como Metasploit y Cobalt Strike han sido utilizadas para la post-explotación, permitiendo el movimiento lateral y la escalada de privilegios una vez comprometido el entorno.

### Impacto y Riesgos

El impacto de estos ataques es significativo para las organizaciones, no solo por la posible filtración de datos sujetos al marco normativo GDPR, sino también por la interrupción de procesos de negocio críticos y la pérdida de confianza de clientes y socios. La explotación de CVE-2023-43298 y la manipulación de OAuth pueden desembocar en accesos persistentes y difíciles de detectar, incluso tras la rotación de contraseñas.

El riesgo aumenta especialmente en entornos donde no se ha implementado autenticación multifactor (MFA) robusta o se depende excesivamente de controles nativos de Salesforce sin monitorización adicional. Además, la exposición de información sensible puede derivar en sanciones regulatorias en virtud del GDPR o la futura directiva NIS2, así como en litigios civiles por parte de afectados.

### Medidas de Mitigación y Recomendaciones

Mandiant recomienda las siguientes acciones inmediatas y a medio plazo:

1. **Revisión y refuerzo de políticas OAuth**: Limitar el uso de aplicaciones externas y monitorizar la creación de tokens.
2. **Implementación obligatoria de MFA**: Preferentemente con métodos resistentes al phishing, como FIDO2.
3. **Auditoría de logs y análisis de autenticaciones anómalas**: Configurar alertas sobre accesos fuera de horario, ubicaciones inusuales y cambios de permisos.
4. **Despliegue de soluciones EDR/XDR**: Para detectar actividad post-explotación derivada del uso de frameworks como Cobalt Strike.
5. **Formación continua en ingeniería social**: Simulacros periódicos de spear phishing y concienciación de administradores.

Salesforce ha publicado parches y guías de endurecimiento específicas para CVE-2023-43298 y recomienda la integración de sus logs con sistemas SIEM para una correlación avanzada.

### Opinión de Expertos

Expertos de Mandiant y otros analistas independientes coinciden en que la sofisticación de UNC6040 marca una tendencia preocupante: el desplazamiento de los ataques de ransomware a campañas de exfiltración y abuso de plataformas SaaS críticas. «El perímetro ya no es el firewall, sino la identidad digital del usuario. La ingeniería social y los ataques a OAuth son el nuevo campo de batalla», afirma Pablo González, investigador senior en ElevenPaths. Los expertos resaltan la importancia de la defensa en profundidad y la monitorización continua de los entornos cloud.

### Implicaciones para Empresas y Usuarios

Las empresas deben revisar urgentemente sus políticas de acceso a Salesforce y otros servicios SaaS, priorizando el principio de mínimo privilegio y la segmentación de cuentas. Usuarios finales y administradores son el eslabón más débil; la formación es clave para identificar intentos de spear phishing avanzados. Además, la adopción de soluciones de detección y respuesta gestionada (MDR) puede ser crítica para organizaciones sin un SOC propio.

El cumplimiento normativo (GDPR, NIS2) exige la notificación temprana de brechas y la demostración de medidas proactivas, lo que puede mitigar sanciones en caso de incidente.

### Conclusiones

La campaña de UNC6040 ilustra la evolución constante de las amenazas contra entornos SaaS y la necesidad de estrategias de defensa adaptativas. El refuerzo de la autenticación, la monitorización proactiva y la formación son elementos esenciales para contrarrestar ataques de ingeniería social cada vez más sofisticados. La colaboración entre fabricantes, proveedores de seguridad y usuarios finales será clave para proteger los activos críticos en la era cloud.

(Fuente: www.darkreading.com)