### Ataques con herramientas RMM: una nueva amenaza que pone en jaque la seguridad de la cadena logística

#### Introducción

En los últimos meses, un grupo de investigadores en ciberseguridad ha detectado una sofisticada campaña de amenazas que emplea herramientas de gestión y monitorización remota (RMM, por sus siglas en inglés) para comprometer infraestructuras críticas del sector logístico. Este vector de ataque no solo apunta a la obtención de información o el secuestro de datos, sino que tiene como objetivo final facilitar el robo físico de mercancía en la cadena de suministro. El hallazgo supone un salto cualitativo en el modus operandi de los ciberdelincuentes, que integran tácticas digitales y físicas para maximizar el impacto de sus acciones.

#### Contexto del Incidente o Vulnerabilidad

El escenario de la cadena de suministro ha sido históricamente un objetivo atractivo para los actores de amenazas, debido a la complejidad de sus procesos y la dependencia de sistemas interconectados. Sin embargo, la campaña recientemente observada representa una evolución preocupante: los atacantes explotan soluciones RMM legítimas —herramientas comúnmente utilizadas por equipos de TI para administración remota— como TeamViewer, AnyDesk o ConnectWise Control, para obtener acceso persistente y sigiloso a sistemas logísticos críticos.

Esta campaña ha sido detectada principalmente en empresas de transporte, operadores logísticos y almacenes automatizados en Europa y Norteamérica. Las primeras evidencias sugieren que los atacantes seleccionan cuidadosamente sus objetivos, centrándose en organizaciones con operaciones de alto volumen y una fuerte dependencia de sistemas automatizados de gestión de inventario y rutas de entrega.

#### Detalles Técnicos

Las herramientas RMM, diseñadas para facilitar la administración remota, presentan un atractivo especial para los atacantes debido a su capacidad de operar bajo credenciales legítimas y con permisos elevados. En este caso, los actores de amenazas han empleado técnicas de spear phishing y explotación de credenciales filtradas para instalar software RMM en sistemas de las víctimas, aprovechando el hecho de que estas aplicaciones suelen estar permitidas por las políticas de seguridad internas.

El acceso inicial se ha rastreado a campañas de phishing dirigidas, en las que se distribuyen enlaces maliciosos o adjuntos que descargan instaladores RMM disfrazados de utilidades legítimas. Una vez desplegada la herramienta, los atacantes emplean TTPs del framework MITRE ATT&CK, tales como:

– **TA0001 Initial Access**: Phishing y explotación de credenciales.
– **TA0002 Execution**: Instalación y ejecución de software RMM.
– **TA0003 Persistence**: Configuración de la herramienta para inicio automático.
– **TA0005 Defense Evasion**: Uso de binarios firmados y evasión de EDR.
– **TA0006 Credential Access**: Dumping de credenciales adicionales para moverse lateralmente.
– **TA0007 Discovery**: Enumeración de sistemas logísticos y paneles de control de almacenes.
– **TA0008 Lateral Movement**: Uso de la RMM para pivotar entre sistemas.
– **TA0010 Exfiltration**: Acceso a bases de datos sobre localización y estatus de cargas.

Los indicadores de compromiso (IoC) incluyen conexiones remotas inusuales desde direcciones IP geográficamente desviadas, instalación de versiones no autorizadas de clientes RMM y actividad fuera del horario habitual.

En algunos casos, se han identificado exploits desarrollados específicamente para evadir la detección por parte de soluciones SIEM y EDR, así como el uso de frameworks como Metasploit para el despliegue inicial y Cobalt Strike para la persistencia y el movimiento lateral.

#### Impacto y Riesgos

El impacto de este tipo de ataques trasciende el ámbito digital. Tras obtener acceso a los sistemas logísticos, los atacantes manipulan información sobre rutas y entregas, coordinando robos físicos de mercancías de alto valor en puntos estratégicos de la cadena de suministro. Existen reportes de pérdidas millonarias, con estimaciones de hasta 40 millones de euros en productos sustraídos en los últimos seis meses.

El riesgo para las empresas no se limita a la pérdida directa de mercancía. La manipulación de datos logísticos puede derivar en retrasos, incumplimientos contractuales y daños reputacionales significativos. Además, la exposición de información sensible puede conllevar sanciones regulatorias bajo el RGPD y la inminente directiva NIS2, que endurece los requisitos de reporte y ciberresiliencia para operadores de servicios esenciales.

#### Medidas de Mitigación y Recomendaciones

La mitigación de estos ataques requiere una aproximación integral. Se recomienda:

– Revisar y restringir el uso de herramientas RMM, permitiendo solo versiones verificadas y autenticadas mediante MFA.
– Monitorizar exhaustivamente los logs de acceso remoto y crear alertas para conexiones poco habituales.
– Segmentar las redes de gestión logística y limitar el acceso remoto a través de VPNs seguras.
– Implementar políticas de Zero Trust y listas blancas de aplicaciones.
– Realizar auditorías periódicas de cuentas y credenciales privilegiadas.
– Formar y concienciar al personal sobre riesgos de phishing dirigido.

#### Opinión de Expertos

Especialistas como Raúl Siles (Founder, DinoSec) advierten que “el uso malicioso de herramientas RMM es una tendencia en auge, ya que permiten a los atacantes operar con sigilo y legitimidad aparente, dificultando la detección incluso para equipos SOC experimentados”. Por su parte, analistas del European Union Agency for Cybersecurity (ENISA) señalan que esta convergencia entre ciberataques y delitos físicos “obliga a replantear las estrategias de defensa en el sector logístico”.

#### Implicaciones para Empresas y Usuarios

Para las empresas, la amenaza requiere reforzar la colaboración entre los equipos de ciberseguridad y de operaciones físicas. La integración de inteligencia de amenazas y la monitorización en tiempo real de las actividades logísticas son ya imprescindibles. Los usuarios y clientes, por su parte, pueden verse afectados indirectamente por retrasos o pérdida de confianza en la integridad de la cadena de suministro.

#### Conclusiones

La utilización de herramientas RMM para orquestar robos físicos en la cadena de suministro representa un nuevo paradigma en ciberamenazas. La sofisticación de las técnicas empleadas y el impacto potencial obligan a las organizaciones a revisar urgentemente sus controles de acceso remoto y fortalecer sus capacidades de detección y respuesta, en línea con las exigencias regulatorias y las mejores prácticas del sector.

(Fuente: www.darkreading.com)