AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Ciberdelincuentes Abusan de Plataformas SaaS para Lanzar Estafas Telefónicas de Alta Credibilidad

admin

Introducción

En los últimos meses, se ha observado un alarmante repunte en campañas de phishing que aprovechan servicios SaaS legítimos como vector principal de ataque. Investigadores de Check Point® Software Technologies Ltd. han identificado una operación sofisticada en la que actores maliciosos explotan plataformas cloud para distribuir estafas telefónicas de alto nivel de credibilidad. Este modus operandi representa un avance significativo respecto a las campañas de phishing tradicionales y plantea nuevos retos para la defensa de infraestructuras corporativas y la protección de los usuarios.

Contexto del Incidente

La campaña, identificada en el primer semestre de 2024, se basa en la utilización de funcionalidades nativas de plataformas SaaS (Software-as-a-Service) ampliamente adoptadas por empresas, tales como Microsoft 365, Google Workspace y servicios de gestión de documentos y formularios. Los atacantes emplean estas herramientas para crear y distribuir mensajes de phishing que carecen de los indicadores clásicos de ataques fraudulentos (dominios sospechosos, errores ortográficos, enlaces acortados, etc.), dificultando su detección incluso por soluciones avanzadas de filtrado y sandboxing.

A diferencia de campañas anteriores, el vector principal no es la obtención directa de credenciales mediante enlaces maliciosos, sino la generación de llamadas telefónicas fraudulentas. A través de mensajes automatizados, los usuarios son instados a contactar con supuestos servicios técnicos o de soporte, donde se les induce a revelar información sensible o a instalar software malicioso.

Detalles Técnicos

Según el equipo de Check Point, los atacantes han aprovechado la infraestructura SaaS para eludir restricciones de reputación, segmentación geográfica y autenticación de correo. El abuso de servicios legítimos proporciona un nivel de confianza que incrementa la tasa de éxito de la campaña. Los principales TTPs (Tactics, Techniques and Procedures) identificados se alinean con los siguientes elementos del framework MITRE ATT&CK:

– Initial Access: Phishing (T1566), especialmente sub-técnicas de spear-phishing a través de servicios SaaS.
– Execution: User Execution (T1204) mediante la inducción a instalar software o proporcionar acceso remoto.
– Credential Access: Input Capture (T1056) y Phishing for Information (T1598).

Se han detectado indicadores de compromiso (IoC) relacionados con URLs de formularios legítimos (por ejemplo, Microsoft Forms, Google Forms), así como números de teléfono que simulan pertenecer a departamentos de soporte técnico. Algunas variantes incluyen la integración de scripts automatizados para el seguimiento de las interacciones.

Versiones afectadas: No se limita a una versión concreta, sino a cualquier implementación corporativa de servicios SaaS que permita la creación y compartición de formularios o plantillas públicas.

Exploits conocidos: Aunque la campaña no utiliza vulnerabilidades técnicas específicas (no hay CVE asignado), sí explota la confianza inherente en la infraestructura SaaS y la ingeniería social avanzada.

Impacto y Riesgos

El impacto potencial de esta campaña es considerable, ya que aprovecha la confianza depositada en marcas y plataformas ampliamente reconocidas. Los riesgos identificados incluyen:

– Compromiso de credenciales corporativas y personales.
– Instalación de software de acceso remoto (RATs) y troyanos.
– Pérdidas económicas derivadas de fraudes financieros y extorsión.
– Daños reputacionales por suplantación de identidad corporativa.
– Incumplimiento normativo (GDPR, NIS2) en caso de filtración de datos personales o sensibles.

Según estimaciones de Check Point, más de un 65% de las empresas europeas utilizan plataformas SaaS afectadas por este vector de ataque, lo que amplifica el radio de acción y la velocidad de propagación. Algunas organizaciones han reportado pérdidas superiores a los 250.000 euros por incidentes derivados de esta táctica.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo de este tipo de campañas, los expertos recomiendan:

– Revisar y restringir la creación y compartición pública de formularios y documentos SaaS.
– Implementar políticas de autenticación multifactorial (MFA) para acceso a plataformas cloud.
– Monitorizar patrones de tráfico y uso anómalo de servicios SaaS a través de herramientas CASB o SIEM.
– Actualizar los filtros de correo y concienciar a los usuarios sobre las nuevas modalidades de phishing telefónico.
– Incluir en los planes de respuesta a incidentes procedimientos específicos para este vector.
– Revisar acuerdos de tratamiento de datos con proveedores SaaS conforme al GDPR y la directiva NIS2.

Opinión de Expertos

Analistas de seguridad consultados destacan que el abuso de infraestructuras SaaS legítimas representa una evolución en las estrategias de ingeniería social, ya que dificulta la aplicación de bloqueos automatizados y requiere una mayor implicación de los equipos de concienciación y respuesta. El uso de números de teléfono en vez de enlaces maliciosos marca una tendencia preocupante, ya que traslada el riesgo a canales menos monitorizados.

Implicaciones para Empresas y Usuarios

Las empresas deben revisar urgentemente las configuraciones de sus plataformas SaaS y reforzar las políticas internas de uso y compartición de recursos en la nube. La capacitación de usuarios en la identificación de nuevas tácticas de phishing es crítica, así como la integración de controles avanzados de seguridad en el ciclo de vida de los servicios cloud. Los usuarios particulares, por su parte, deben extremar la precaución ante cualquier requerimiento de contacto telefónico recibido a través de canales digitales.

Conclusiones

El aprovechamiento de plataformas SaaS legítimas para lanzar estafas telefónicas de alta credibilidad representa un salto cualitativo en la sofisticación de las campañas de phishing. Las organizaciones deben adaptar sus estrategias de defensa a esta nueva realidad, combinando tecnología, procesos y concienciación para minimizar la exposición al riesgo y cumplir con los requisitos normativos en materia de protección de datos y ciberseguridad.

(Fuente: www.cybersecuritynews.es)