El servicio de soporte de la empresa también es un vector de amenazas

Su centro de soporte está destinado a resolver problemas, no a crearlos. Sin embargo, a medida que los atacantes se han vuelto más hábiles en la ingeniería social, han convertido cada vez más este servicio en un vulnerable punto de entrada para los ciberataques.

A menos que se hable de insiders maliciosos o errores de empleados, resulta contraproducente pensar en el servicio de soporte como un vector de amenazas. Después de todo, estamos hablando del equipo de soporte, profesionales de TI que están formados en las políticas de la empresa y tienen un conocimiento básico de ciberseguridad. No todos los empleados reciben el entrenamiento adecuado, pero al menos su equipo de TI debería saber mejor que nadie que no debe permitir que un actor de amenazas tenga una contraseña o privilegios elevados.

¿Y si un actor de amenazas está intentando infiltrarse en la red de una empresa, no querría evitar al equipo de TI? Son las personas más propensas a detectarlo ¿No es ese el objetivo de las cadenas de ataque que utilizan técnicas de sigilo, evasión y técnicas de uso de herramientas legítimas (LotL)?

Parece que sí, pero echemos un vistazo más de cerca:

• Los servicios de soporte tienen acceso a recursos valiosos. Estos técnicos pueden resetear contraseñas, restablecer o deshabilitar la autenticación multifactor (MFA), cambiar privilegios de usuario, ver detalles de usuarios y sistemas, y más. El servicio de soporte es un cofre del tesoro para un actor de amenazas, por lo que seguirán desarrollando y probando nuevos exploits.
• Los servicios de soporte suelen ser el punto de partida para los profesionales de TI y ciberseguridad. Puede haber expertos en el equipo, pero aquí es donde muchos graduados en redes y seguridad se incorporan. Es posible que no tengan suficiente experiencia, conocimiento de la empresa y la red, o confianza en sí mismos para reconocer y responder adecuadamente a actividades sospechosas. Para algunos de ellos, el servicio de soporte es su primera experiencia en un entorno dinámico con una red imperfecta.
• Los servicios de soporte a menudo tienen poco personal y están sobrecargados. La demanda de profesionales de seguridad sigue creciendo, especialmente ahora que los actores de amenazas han incorporado la inteligencia artificial (IA) en sus ataques. El sector ya está escaso de personal, lo que significa que una persona puede hacer el trabajo de 1,5–2 empleados a tiempo completo. Esto puede ser agotador, especialmente si el servicio de soporte también está gestionando muchas alertas de falsos positivos.

Teniendo esto en cuenta, el servicio de soporte parece un vector obvio. En manos de un actor de amenazas hábil, este puede entregar los activos más valiosos de la empresa.

Ataques al servicio de soporte

Para ilustrar cómo funcionan estos ataques, analizaremos cuatro tácticas e incidentes, comenzando con los intercambios de SIM de Twitter en 2019. Los actores de amenazas utilizaron ingeniería social para engañar a los servicios de atención al cliente de las compañías de telefonía móvil para que realizaran intercambios de SIM de las víctimas a los atacantes. 'Intercambio de SIM' simplemente significa que la compañía de telefonía móvil transfirió el número de teléfono de las tarjetas SIM de las víctimas a las tarjetas SIM a teléfonos en manos de los atacantes. Esto dio a los atacantes acceso a los códigos de autenticación multifactor y otros necesarios para tomar el control de las cuentas de Twitter y billeteras de criptomonedas.

Este es un ataque común a personas de alto perfil como celebridades e influencers, especialmente aquellos que utilizan criptomonedas. Brian Krebs tiene más información sobre estos ataques y las consecuencias .

El grupo LAPSUS$ acaparó titulares a lo largo de 2021-2022 con sus exitosos ataques de suplantación de identidad contra el servicio de soporte de grandes organizaciones, incluidas Microsoft, Nvidia, Samsung y Okta. El grupo se preparó para los ataques rastreando fuentes públicas, redes sociales y filtraciones de datos disponibles a través de la dark web. Los miembros de LAPSUS$ luego contactaron a los servicios de soporte de las empresas y se hicieron pasar por empleados que necesitaban ayuda urgente con credenciales o dispositivos. Estas estafas a menudo utilizaban vishing (phishing por voz) o mensajes directos para reforzar su credibilidad.

LAPSUS$ también utilizó la suplantación de identidad del servicio de soporte para apoyar otras estafas. Una técnica común es enviar spam a los empleados con solicitudes repetidas de autenticación multifactor (MFA) y hacer seguimiento con una llamada para convencer al técnico de aprobar la autenticación. LAPSUS$ también participa en smishing (phishing por SMS), spear phishing e intercambio de SIM para interceptar comunicaciones y códigos de autenticación. El grupo también buscó el reclutamiento de personas internas, ofreciendo compensaciones por acceso privilegiado o escalación. Estas tácticas combinadas les permitieron violar entornos sensibles y lanzar ataques de ransomware y otros. Muchas veces, el éxito del grupo se podría atribuir a estudiar al objetivo y acosar al personal hasta que finalmente cometen un error.  

En 2022, el grupo de amenazas 0ktapus utilizó tanto smishing como vishing para comprometer a Twilio, un proveedor de comunicaciones en la nube. Este fue un ataque sofisticado y de múltiples etapas de ingeniería social. Aquí está la cronología:

• 29 de junio de 2022: los actores de la amenaza 0ktapus se hacen pasar por el equipo de TI en ataques de vishing a empleados de Twilio. Una persona que llama convence a un empleado para que proporcione credenciales de trabajo, lo que permite aproximadamente 12 horas de acceso no autorizado a los datos de contacto de los clientes.
• Mediados de julio de 2022: Los atacantes lanzan una campaña de smishing que bombardea a empleados actuales y anteriores de Twilio con alertas falsas y enlaces maliciosos de restablecimiento de contraseña. Algunos de estos ataques tienen éxito y los actores de amenazas obtienen acceso a la red de Twilio y a los datos de los clientes.
• 4-9 de agosto de 2022: Twilio toma conocimiento de la intrusión en la red y la violación de datos e implementa una respuesta, aunque los actores de la amenaza 0ktapus mantienen el acceso durante dos días más tras la detección. Como parte de la respuesta, Twilio trabaja con operadores y proveedores de alojamiento para cerrar la infraestructura de smishing y robo de credenciales.
• Agosto–octubre de 2022: Twilio investiga junto a socios forenses y actualiza su informe de incidente anterior.

"Nuestra investigación también nos llevó a concluir que es probable que los mismos actores maliciosos fueran responsables de un breve incidente de seguridad que ocurrió el 29 de junio de 2022. En el incidente de junio, un empleado de Twilio fue víctima de ingeniería social a través de un phishing de voz (o 'vishing') para proporcionar sus credenciales, y el actor malicioso pudo acceder a la información de contacto de un número limitado de clientes." ~ Informe de Incidente de Twilio, 7 de agosto de 2022

El grupo de amenazas Scattered Spider utilizó ataques de vishing para infiltrarse en MGM Resorts en septiembre de 2023. Aquí, los interlocutores usaron LinkedIn para identificar a un empleado de MGM y luego suplantaron a ese individuo en una llamada al servicio de asistencia de la empresa. El interlocutor afirmó tener bloqueado el sistema y pidió ayuda para restaurar el acceso. Desafortunadamente, esto funcionó, y los atacantes obtuvieron acceso privilegiado a los entornos de Okta y Azure AD de la empresa. Esto le dio a Scattered Spider acceso sin restricciones a los sistemas de gestión de identidad y acceso de MGM. Pudieron gestionar cuentas de usuario, desactivar controles de seguridad y otorgarse acceso a todo lo integrado con las plataformas comprometidas.

Una vez que Scattered Spider logró el acceso inicial, el grupo de ransomware ALPHV lanzó su ataque contra la empresa. A finales de 2023, el ataque le costó a MGM en torno a $100 millones en pérdida de ingresos, honorarios de consultoría y legales, y otros gastos relacionados con la recuperación, las mejoras de seguridad y los problemas de cumplimiento.

Por qué funcionan estos ataques

Hemos visto que los actores de amenazas están dispuestos a levantar el teléfono y hacerse pasar por un miembro de soporte técnico o un empleado que necesita soporte. Estos actores de amenazas son "interlocutores" que se especializan en vishing y otras técnicas de ingeniería social. Son expertos en suplantación y conversación improvisada, y a menudo se preparan para una llamada escribiendo un guion o recopilando detalles sobre el objetivo. A menudo son jóvenes angloparlantes radicados en Inglaterra y Estados Unidos, y muchos han estado afiliados a un grupo conocido como "The Com." Esta es una comunidad de adolescentes y jóvenes adultos poco organizada que comienzan a participar en estas actividades por notoriedad, y luego continúan una 'carrera' en el cibercrimen por dinero. Grupos como Scattered Spider (UNC3944), LAPSUS$, 0ktapus, Star Fraud, Octo Tempest, y Scatter Swine han surgido todos de The Com. Aquí, con total transparencia , algunos de esos nombres son alias para un solo grupo, y algunos de estos grupos comparten miembros. Dado que estos actores de amenazas surgieron de The Com, aprendieron a trabajar en grupos poco organizados que utilizan técnicas similares. Esto puede dificultar la atribución de los ataques, pero las fuerzas del orden han tenido un éxito considerable contra estos actores de amenazas radicados en Occidente.

• Los federales acusan a cinco hombres en la redada 'Scattered Spider'
• Reino Unido arresta a cuatro del grupo de ransomware ‘Scattered Spider’
• El FBI expone las actividades criminales de The Com y la implicación de menores

El servicio de soporte técnico no solo es vulnerable porque estos actores de amenazas son buenos en lo que hacen. Simplemente no hay suficientes empresas con controles implementados para proteger a los empleados de estos ataques. Ya sea que el atacante esté suplantando al soporte técnico o a un empleado que no pertenece a él, el ataque puede detenerse con controles de seguridad adecuados.

Defender su empresa de ataques al servicio de soporte técnico

Como cualquier otro tipo de ciberseguridad, hay múltiples capas de defensa que se pueden implementar. Aquí están algunas de las mejores prácticas más accesibles:

Procedimientos estrictos de verificación de usuario: Requiere autenticación multifactorial y verificación detallada antes de procesar solicitudes sensibles (como restablecimientos de contraseñas o cambios de acceso). Hacer cumplir políticas que prohíban la divulgación o el restablecimiento de credenciales sin validación de identidad en varios pasos. Uso de protocolos de devolución de llamada, directorios telefónicos internos, enlaces de tickets internos y preguntas de verificación de identidad.

Controles de acceso y segmentación: Limite el acceso del servicio de soporte a sistemas y datos sensibles basándose en el principio de privilegio mínimo. Separe las funciones de modo que ningún miembro del personal pueda aprobar e iniciar unilateralmente acciones de alto riesgo. Utilice confirmaciones independientes, como una segunda llamada telefónica a un número verificado, antes de realizar una recuperación de cuenta o una escalada de privilegios.

Rastros de auditoría y monitoreo: Registre todas las actividades del servicio de soporte, especialmente aquellas que involucren cambios sensibles o acceso a credenciales, y monitoree proactivamente los patrones que puedan indicar abuso, como restablecimientos de contraseña repetidos o escalaciones de acceso rápidas.

Revisar y actualizar regularmente las políticas de seguridad: Realizar regularmente evaluaciones programadas de los procedimientos del centro de soporte en comparación con las últimas amenazas del sector y actualizar los protocolos según sea necesario. Utilizar inteligencia sobre amenazas emergentes junto con datos de los registros del centro de soporte y otras fuentes internas para informar sobre nuevas políticas.  

Formación continua en seguridad: Capacite regularmente a los empleados para reconocer tácticas de phishing, vishing e ingeniería social, y aumente la concienciación sobre los ataques de deepfake. Utilice escenarios de ataque simulados para desarrollar familiaridad y resiliencia. Empodere al personal para informar de intentos sospechosos de ingeniería social o solicitudes anómalas de inmediato, con protocolos claros de escalada y respuesta para actividades inusuales.

También debería considerar usar MFA resistente al phishing , como claves FIDO2 o autenticación basada en aplicaciones. Esto limitará la efectividad de los intercambios de SIM y los ataques de ingeniería social.

Incluso los equipos de TI más pequeños pueden implementar algunos de estos controles. Aunque solo tenga un miembro de TI, puede usar protocolos de verificación y requerir una capa adicional de aprobación para solicitudes de alto riesgo. Un sistema de tickets simple puede crear pistas de auditoría, y ya debería existir una revisión regular de las políticas y procedimientos de seguridad. No es fácil establecer y hacer cumplir una buena seguridad en el servicio de soporte, pero se está volviendo cada vez más importante.