AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

Ciberdelincuentes se infiltran en empresas simulando ser profesionales IT mediante deepfakes y CVs falsos

admin

Introducción

En el panorama actual de la ciberseguridad, los métodos tradicionales de ataque evolucionan a la par que las tecnologías defensivas. Un preocupante fenómeno ha comenzado a ganar tracción: la infiltración de ciberdelincuentes en empresas haciéndose pasar por profesionales del sector IT mediante el uso de deepfakes, currículums manipulados y robo de identidades. Esta táctica, que transforma los procesos de contratación en nuevos vectores de amenaza interna, está siendo analizada en detalle por expertos como los de Huntress Labs, quienes advierten sobre la creciente sofisticación y el potencial daño de estas operaciones.

Contexto del Incidente o Vulnerabilidad

Durante los últimos meses, diversas organizaciones han reportado incidentes en los que actores maliciosos han superado los filtros iniciales de selección de personal, presentándose como candidatos aparentemente cualificados para puestos IT sensibles. El uso de identidades robadas, currículums falseados y, en algunos casos, videollamadas manipuladas con técnicas de deepfake, ha permitido a estos atacantes avanzar en los procesos de selección y, en ocasiones, obtener acceso efectivo a infraestructuras críticas de la empresa.

La táctica supone una evolución respecto al clásico “insider threat”: ya no se trata solo de empleados descontentos o sobornados, sino de infiltrados profesionales, reclutados específicamente para obtener acceso privilegiado bajo una falsa identidad.

Detalles Técnicos

Los casos documentados han puesto de manifiesto varias técnicas y TTP (Tácticas, Técnicas y Procedimientos) alineadas con el marco MITRE ATT&CK, en particular:

– **T1078 (Valid Accounts):** Utilización de credenciales legítimas obtenidas a través de identidades robadas.
– **T1195 (Supply Chain Compromise):** Infiltración mediante el uso de terceros o procesos externos como la selección de personal.
– **T1204 (User Execution):** Engaño a través de ingeniería social en entrevistas y presentaciones técnicas.

En la práctica, los atacantes emplean deepfakes para simular la imagen y voz de los supuestos candidatos durante entrevistas por videollamada, valiéndose de modelos avanzados de IA y herramientas comerciales de creación de deepfakes. Los currículums se confeccionan a partir de datos obtenidos en brechas previas, como las sufridas por plataformas de empleo y redes profesionales (por ejemplo, LinkedIn).

Se han detectado indicadores de compromiso (IoCs) asociados a la reutilización de documentos de identidad digitalizados, direcciones IP recurrentes en el proceso de envío de solicitudes y patrones inusuales de comunicación durante las entrevistas (por ejemplo, retardo entre preguntas y respuestas, o movimientos faciales poco naturales).

Frameworks como Metasploit y Cobalt Strike han sido empleados por estos actores una vez obtenido el acceso inicial, permitiendo la escalada de privilegios y el movimiento lateral dentro de la red corporativa.

Impacto y Riesgos

El impacto potencial de estos ataques es considerable. Según estimaciones de Huntress Labs, aproximadamente un 12% de las empresas que han recibido solicitudes para puestos IT remotos en el último año han detectado algún tipo de anomalía vinculada a intentos de suplantación de identidad. En varios casos, los infiltrados lograron acceso a entornos de producción, repositorios de código fuente o sistemas críticos de autenticación, exponiendo datos sensibles y posibilitando ataques posteriores de ransomware, sabotaje o exfiltración.

A nivel económico, comprometer un entorno mediante este vector puede suponer pérdidas que oscilan entre los 250.000 y los 2 millones de euros por incidente, considerando tanto el daño directo como las sanciones regulatorias (por ejemplo, bajo el RGPD/GDPR o la futura Directiva NIS2).

Medidas de Mitigación y Recomendaciones

Para mitigar este tipo de amenazas, los expertos recomiendan reforzar los controles en los procesos de selección y acceso inicial:

– Verificación exhaustiva de antecedentes y referencias profesionales.
– Validación biométrica y uso de soluciones antifraude en videollamadas, capaces de detectar deepfakes mediante análisis de microexpresiones y artefactos visuales.
– Implementación de controles de acceso de privilegios mínimos y segmentación de redes para nuevos empleados, especialmente en áreas críticas.
– Monitorización continua de actividad sospechosa, correlacionando comportamientos anómalos en el acceso a sistemas sensibles.
– Formación específica para los equipos de Recursos Humanos y managers técnicos sobre detección de fraudes digitales.
– Revisión y actualización de las políticas de onboarding y offboarding, garantizando la revocación inmediata de credenciales ante cualquier sospecha.

Opinión de Expertos

Investigadores de Huntress Labs y analistas independientes coinciden en que la sofisticación de estas campañas marca un antes y un después en la gestión del riesgo interno. “El uso de deepfakes y la manipulación de identidades en procesos de selección representa una amenaza real y en aumento. Las empresas deben asumir que el vector humano, tradicionalmente el eslabón más débil, puede ahora ser explotado con herramientas altamente avanzadas”, afirma John Hammond, investigador principal de Huntress.

Implicaciones para Empresas y Usuarios

Para las organizaciones, la implicación más relevante es la necesidad de revisar en profundidad los procesos de selección y acceso, tratando a cada nuevo empleado como un potencial vector de amenaza hasta que se demuestre lo contrario. Los usuarios finales, por su parte, deben ser conscientes de la importancia de proteger su identidad digital y limitar la exposición de información personal en redes profesionales.

Conclusiones

La infiltración de ciberdelincuentes en empresas a través de procesos de selección manipulados mediante deepfakes y robo de identidad redefine el concepto de amenaza interna. La combinación de ingeniería social, IA y herramientas de hacking avanzadas exige una revisión urgente de las políticas de selección, onboarding y control de acceso en organizaciones de todos los sectores, especialmente en aquellas sujetas a regulaciones estrictas como RGPD o NIS2. La formación y la concienciación, junto con la aplicación de controles técnicos adaptados, se perfilan como las principales barreras contra esta nueva ola de ataques.

(Fuente: www.bleepingcomputer.com)