Ciberdelincuentes de Scattered LAPSUS$ Hunters Ofrecen Incentivos Económicos para Reclutar Mujeres en Campañas de Vishing

Introducción

El colectivo cibercriminal conocido como Scattered LAPSUS$ Hunters (SLH) ha intensificado su actividad mediante tácticas de ingeniería social avanzadas, según un informe reciente de la firma de ciberinteligencia Dataminr. En un giro preocupante, el grupo ha comenzado a ofrecer incentivos económicos específicos para reclutar mujeres, a fin de ejecutar campañas de vishing (voice phishing) dirigidas a los servicios de soporte técnico (help desk) de grandes organizaciones. Esta estrategia representa una evolución significativa en las TTPs (Tácticas, Técnicas y Procedimientos) empleadas por actores de amenazas vinculados con LAPSUS$, y pone de manifiesto la sofisticación operativa de la ciberdelincuencia contemporánea.

Contexto del Incidente

Scattered LAPSUS$ Hunters es una derivación del conocido grupo LAPSUS$, responsable de varios ataques de alto perfil a entidades como Microsoft, Okta y Uber. Su notoriedad radica en la explotación de la ingeniería social y la manipulación de empleados para obtener acceso inicial a sistemas corporativos críticos. Según Dataminr, SLH ha lanzado una campaña de reclutamiento dirigida específicamente a mujeres, presumiblemente por la percepción de que sus voces pueden ser consideradas más confiables o menos sospechosas en interacciones telefónicas con equipos de soporte técnico.

En estos esquemas, las mujeres reclutadas reciben entre 500 y 1.000 dólares por llamada exitosa, además de incentivos adicionales por logros concretos, como la obtención de credenciales privilegiadas o el acceso a sistemas internos. El pago inmediato y la falta de requerimientos técnicos avanzados han hecho que esta oferta sea especialmente atractiva para personas sin experiencia previa en ciberataques.

Detalles Técnicos

Las campañas de vishing orquestadas por SLH emplean técnicas de impersonación sofisticadas. El vector de ataque principal consiste en llamadas telefónicas dirigidas a help desks corporativos, aprovechando la ingeniería social para convencer a los operadores de resetear contraseñas, emitir tokens de autenticación o facilitar acceso remoto a sistemas.

Vectores de Ataque y TTPs MITRE ATT&CK:

– **T1566.002** (Phishing: Vishing): Uso de llamadas telefónicas fraudulentas para manipular a usuarios.
– **T1078** (Valid Accounts): Uso de credenciales obtenidas para acceder a sistemas internos.
– **T1106** (Execution): Ejecución de comandos y herramientas tras la obtención de acceso inicial.
– **T1110** (Brute Force): Intentos de acceso con combinaciones de credenciales robadas.

Indicadores de Compromiso (IoC):

– Números de teléfono VoIP registrados en países distintos al objetivo.
– Patrones de llamadas simulando acentos locales.
– Solicitudes inusuales de reseteo de credenciales fuera de horario laboral.

Versiones y Plataformas Afectadas:

– Help desks de grandes corporaciones con procedimientos de verificación débiles.
– Sistemas de autenticación multifactor (MFA) susceptibles a ataques de «MFA Fatigue».

Exploits y Herramientas Utilizadas:

– Frameworks de automatización de llamadas y spoofing de números (ej. Asterisk).
– Herramientas de grabación y análisis de voz para perfeccionar la suplantación.
– Bases de datos filtradas con información personal para personalizar los ataques.

Impacto y Riesgos

El impacto potencial de estas campañas es significativo. El acceso inicial obtenido mediante vishing puede derivar en:

– Compromiso de cuentas privilegiadas.
– Exfiltración de datos confidenciales, con riesgo de sanciones bajo GDPR y NIS2.
– Despliegue de ransomware o herramientas de post-explotación como Cobalt Strike o Metasploit.
– Daños reputacionales y pérdidas económicas: según IBM, el coste medio de una brecha supera los 4 millones de dólares.

Cabe destacar que más del 60% de los incidentes recientes de acceso no autorizado en grandes empresas han involucrado alguna forma de ingeniería social, según el informe de Verizon DBIR 2023.

Medidas de Mitigación y Recomendaciones

Para mitigar estos riesgos, se recomienda:

– Refuerzo de los protocolos de verificación en help desks (doble autenticación, callbacks).
– Formación continua y simulaciones de vishing para empleados de soporte.
– Monitorización de llamadas entrantes y análisis de patrones sospechosos.
– Implementación de políticas de privilegio mínimo en la gestión de accesos.
– Revisión regular de logs y alertas de sistemas SIEM para detectar actividades anómalas.

Opinión de Expertos

Expertos en ciberseguridad, como Pablo Fernández, CISO de una multinacional tecnológica, señalan: “La profesionalización del vishing y la externalización de la ingeniería social es una tendencia al alza. Los equipos SOC deben centrarse tanto en la defensa técnica como en la capacitación humana para identificar y bloquear estos ataques”.

Implicaciones para Empresas y Usuarios

La externalización de la ingeniería social mediante incentivos económicos plantea un escenario donde los perímetros de seguridad tradicionales se ven superados por la manipulación humana. Las empresas deben revisar sus procedimientos internos y garantizar que el eslabón más débil, el factor humano, esté adecuadamente protegido y concienciado.

Para los usuarios, especialmente aquellos con roles de soporte o administración, la concienciación y la formación constante son esenciales para evitar ser la puerta de entrada de estos actores maliciosos.

Conclusiones

La campaña de SLH pone de relieve la evolución de las amenazas basadas en ingeniería social, con actores que profesionalizan y diversifican sus técnicas para maximizar el éxito. La respuesta debe combinar tecnología, formación y cultura de seguridad para minimizar el impacto de estos vectores de ataque emergentes.

(Fuente: feeds.feedburner.com)