### El peligro invisible: la infiltración de atacantes mediante identidades falsas en procesos de contratación

#### Introducción

En el cambiante panorama de la ciberseguridad, las amenazas internas no siempre provienen de empleados descontentos o negligentes, sino que pueden originarse mucho antes de su primer día de trabajo. Recientemente, se ha detectado una tendencia al alza: la infiltración de atacantes que obtienen acceso a organizaciones a través de procesos de contratación legítimos, utilizando identidades falsas cuidadosamente construidas. Esta técnica, que va más allá del clásico phishing o la ingeniería social, plantea nuevos retos a los equipos de seguridad y recursos humanos, y representa una crisis de identidad en la era digital.

#### Contexto del incidente o vulnerabilidad

La táctica de infiltración por onboarding consiste en que actores maliciosos se hagan pasar por candidatos altamente cualificados durante los procesos de selección de personal, superando todas las etapas de verificación, desde las entrevistas técnicas hasta los chequeos de antecedentes y referencias. Un ejemplo reciente es el caso ficticio de “Jordan de Colorado”, quien, a pesar de presentar un currículum impecable y referencias verificables, resultó ser un atacante con acceso directo a los sistemas internos de la organización desde el primer día.

Este vector de ataque se diferencia de las amenazas externas clásicas porque aprovecha la confianza inherente al proceso de incorporación de nuevos empleados. Al obtener credenciales y privilegios legítimos, el atacante elude la mayoría de los controles de seguridad perimetral y se posiciona con ventaja para realizar acciones maliciosas desde dentro.

#### Detalles técnicos: CVE, vectores de ataque, TTP MITRE ATT&CK, IoC

Aunque no existe un CVE específico asociado a este tipo de amenaza, el vector de ataque se encuadra dentro del framework MITRE ATT&CK en las técnicas T1078 (Obtención de credenciales válidas) y T1199 (Trusted Relationship). Los atacantes suelen utilizar técnicas de OSINT para construir identidades digitales creíbles, incluyendo perfiles en LinkedIn, GitHub y otras plataformas profesionales, así como referencias falsas difíciles de rastrear.

Una vez dentro de la organización, los atacantes emplean herramientas y técnicas habituales en operaciones de post-explotación, como Cobalt Strike o Metasploit, para moverse lateralmente (T1075), escalar privilegios (T1068) y exfiltrar datos críticos (T1041). Se han observado IoCs relacionados con accesos inusuales a recursos internos, creación de túneles cifrados no autorizados y el despliegue de malware personalizado desde cuentas legítimas recién creadas.

#### Impacto y riesgos

El impacto potencial de esta táctica es severo, ya que el atacante obtiene acceso legítimo a sistemas críticos, sorteando la mayoría de los controles de seguridad tradicionales. Según un informe de CrowdStrike, el 34% de las brechas internas de 2023 estuvieron relacionadas con el abuso de credenciales legítimas. Además, el coste medio de una brecha originada por actores internos supera los 7 millones de euros, según el último informe del Ponemon Institute.

Las organizaciones afectadas pueden enfrentarse a la pérdida de propiedad intelectual, exfiltración de datos personales bajo protección del GDPR, daños reputacionales y sanciones regulatorias. Bajo la NIS2, incidentes de este tipo pueden resultar en investigaciones exhaustivas y la obligación de reportar brechas en plazos muy ajustados.

#### Medidas de mitigación y recomendaciones

Para mitigar este tipo de amenazas, es crucial reforzar los controles tanto en el proceso de selección como tras la incorporación:

– **Verificación exhaustiva de antecedentes:** Ampliar las comprobaciones más allá de referencias y certificados tradicionales, recurriendo a validadores independientes y cruzando información en tiempo real.
– **Monitorización activa de nuevos empleados:** Aplicar políticas de Zero Trust, monitorizando las actividades de las cuentas recién creadas especialmente en los primeros 90 días.
– **Gestión de privilegios mínima:** Asignar solo los accesos estrictamente necesarios y revisar periódicamente los permisos concedidos.
– **Formación y concienciación:** Implicar a RRHH y managers técnicos en la identificación de comportamientos atípicos y posibles señales de alarma.
– **Automatización de alertas e integración con SIEM/SOAR:** Configurar reglas específicas para detectar accesos inusuales, movimientos laterales y uso de herramientas de administración remota por usuarios nuevos.

#### Opinión de expertos

Expertos del sector, como Mariano J. López, CISO de una entidad bancaria española, afirman: “El perímetro ya no existe; ahora el reto es verificar la identidad y la intención incluso de quienes parecen cumplir todos los requisitos. La colaboración entre RRHH y ciberseguridad es clave para anticipar este tipo de infiltraciones”. Por su parte, Elisa Gómez, analista de amenazas en un SOC europeo, advierte: “Estamos viendo un incremento del 18% anual en incidentes internos originados en los primeros meses de contratación. Es fundamental no bajar la guardia durante el onboarding”.

#### Implicaciones para empresas y usuarios

Las empresas deben revisar sus procesos de onboarding desde una perspectiva de riesgo, considerando el acceso temprano a activos críticos y adaptando sus políticas de seguridad a un entorno donde la confianza ya no puede darse por sentada. Los usuarios, por su parte, deben ser conscientes de la responsabilidad inherente al uso de credenciales corporativas y la importancia de reportar incidentes o comportamientos sospechosos, incluso si provienen de nuevos compañeros.

#### Conclusiones

La infiltración de atacantes mediante identidades falsas representa una amenaza emergente y sofisticada para todo tipo de organizaciones. Adaptar los procesos de selección y protección de activos a este nuevo escenario es imprescindible. El enfoque Zero Trust, la colaboración multidisciplinar y la monitorización proactiva son las mejores defensas frente a una crisis de identidad que ya es una realidad.

(Fuente: feeds.feedburner.com)