Los malware qué más atacaron a teléfonos Android en 2025
Diciembre 21, 2025
Transforme fuentes en tablas de datos estructuradas en NotebookLM
Diciembre 23, 2025
Los servicios de asistencia externalizados están en la mira de los ciberdelincuentes, que buscan aprovechar vulnerabilidades humanas y técnicas para infiltrarse en las redes corporativas.
17 Oct 2025
•
,
7 min. read
El riesgo en la cadena de suministro está aumentando entre las empresas a nivel mundial. Verizon afirma que el papel de terceros en las filtraciones de datos se duplicó el año pasado hasta alcanzar el 30%. Sin embargo, normalmente este tipo de riesgo se enmarca en términos de problemas con componentes de código abierto(Log4Shell), software propietario(MOVEit) y proveedores físicos(Synnovis). ¿Qué ocurre cuando su propio proveedor externo de TI es el origen de una brecha importante?
Por desgracia, algunas grandes marcas están empezando a descubrir este problema, ya que sofisticados actores de amenazas atacan a sus servicios de asistencia externalizados con ataques de vishing. La respuesta está en las defensas en capas, la diligencia debida y la formación en ciberseguridad a la antigua usanza.
Por qué el helpdesk es un objetivo
La tercerización de los servicios informáticos (o helpdesks) es una opción cada vez más popular para muchas empresas. Ofrecen el tipo de ahorro CapEx/OpEx, experiencia especializada, eficiencia operativa y escala que las pymes en particular luchan por igualar internamente. Sin embargo, los operarios también pueden restablecer contraseñas, inscribir nuevos dispositivos, elevar los privilegios de los usuarios e incluso desactivar la autenticación multifactor (MFA). Esa es básicamente una lista de las cosas que un actor de amenazas necesita para obtener acceso no autorizado a los recursos de la red y moverse lateralmente. Solo necesitan una forma de convencer al personal del servicio de asistencia de que son empleados legítimos.
Hay otras razones por las que los helpdesks de terceros están siendo objetivo de los cibercriminales:
- Pueden estar formados por profesionales de TI o ciberseguridad en el primer peldaño de la escala profesional, por lo que pueden no tener la experiencia necesaria para detectar intentos sofisticados de ingeniería social.
- Los ciberdelincuentes pueden aprovecharse del hecho de que los servicios de asistencia están ahí para prestar un servicio a los empleados de sus clientes y que, por lo tanto, el personal puede estar demasiado ansioso por satisfacer las solicitudes de restablecimiento de contraseñas, por ejemplo.
- A menudo, el personal de los servicios de asistencia se ve desbordado por la creciente complejidad de los entornos informáticos, el trabajo a domicilio y la presión empresarial. Esto también puede ser aprovechado por los vishers avezados.
- Los agresores pueden emplear tácticas que ni siquiera el personal experimentado del servicio de asistencia es capaz de detectar, como el uso de IA para hacerse pasar por altos cargos de la empresa que «necesitan su ayuda urgentemente».
El servicio de asistencia en el punto de mira
Los ataques de ingeniería social contra servicios de asistencia no son nada nuevo. Ya en 2019, los actores de amenazas lograron secuestrar la cuenta del entonces CEO de Twitter, Jack Dorsey, después de convencer a un empleado del servicio de atención al cliente de su operador de telefonía móvil para que transfiriera su número a una nueva tarjeta SIM. En ese momento, estos ataques de intercambio de SIM permitieron interceptar los textos de código de acceso de un solo uso, que eran una forma popular para que los servicios autenticaran a sus usuarios.
Hay ejemplos más recientes:
- En 2022, el grupo LAPSUS$ logró comprometer a varias organizaciones de renombre, como Samsung, Okta y Microsoft, tras atacar al personal del servicio de asistencia. Según Microsoft, investigaron a empleados específicos para responder a preguntas de recuperación comunes como «primera calle en la que viviste» o «nombre de soltera de la madre»
- Recientemente se ha culpado al grupo Scattered Spider de «instrumentalizar la vulnerabilidad humana» con ataques de vishing contra empleados del servicio de asistencia técnica. No está claro qué organizaciones se vieron comprometidas, aunque el grupo consiguió vulnerar MGM Resorts de esta manera. Se dice que el ataque de 2023 costó a la empresa al menos 100 millones de dólares.
- El fabricante Clorox ha demandado a su proveedor de servicios de asistencia Cognizant después de que un empleado supuestamente accediera a una solicitud de restablecimiento de contraseña sin ni siquiera pedir a la persona al otro lado del teléfono que verificara su identidad. Al parecer, el incidente costó a la empresa 380 millones de dólares.
Algunas lecciones aprendidas
El éxito de estos ataques ha sido tal que se afirma que grupos profesionales de ciberdelincuentes rusos están reclutando activamente a angloparlantes nativos para hacer el trabajo sucio. Los anuncios vistos en foros de delincuentes muestran que buscan hablantes fluidos con un acento mínimo capaces de «trabajar» durante el horario comercial occidental. Esto debería ser una señal de alarma para cualquier responsable de seguridad de una organización que subcontrate su servicio de asistencia.
¿Qué podemos aprender de estos incidentes? Ante un nuevo proveedor de servicios, es crucial que se realicen comprobaciones de certificaciones de buenas prácticas como la ISO 27001 y se lleven a cabo revisiones de las políticas internas de seguridad y contratación. En términos más generales, el CISO debería asegurarse de que su proveedor dispone de:
- Procesos estrictos de autenticación de usuarios para cualquier persona que llame al servicio de asistencia con solicitudes sensibles como el restablecimiento de contraseñas. Esto podría incluir una política por la que se obligue a la persona que llama a colgar y el operador del servicio de asistencia le devuelva la llamada a un número de teléfono previamente registrado y autenticado. O el envío de un código de autenticación por correo electrónico o mensaje de texto para poder continuar.
- Políticas de mínimos privilegios que limiten las posibilidades de acceso lateral a los recursos sensibles, incluso si el adversario consigue restablecer la contraseña o algo similar. Y separación de funciones para el personal del servicio de asistencia, de modo que las acciones de alto riesgo deban ser aprobadas por más de un miembro del equipo.
- Registro exhaustivo y supervisión en tiempo real de toda la actividad del servicio de asistencia, con el fin de detener los intentos de vishing.
- Formación continua de los agentes basada en ejercicios de simulación del mundo real, que se actualizan periódicamente para incluir las nuevas TTP de los actores de amenazas, incluido el uso de voces sintéticas.
- Evaluaciones periódicas de las políticas de seguridad para garantizar que tienen en cuenta la evolución del panorama de amenazas, las actualizaciones internas de inteligencia sobre amenazas, los registros del servicio de asistencia y los cambios en la infraestructura.
- Controles técnicos como la detección de la suplantación del identificador de llamadas y el audio deepfake (que ha sido utilizado por el grupo ShinyHunters). Todas las herramientas del servicio de asistencia también deben estar protegidas por MFA para mitigar aún más el riesgo.
- Una cultura que fomente la notificación de incidentes y la concienciación sobre la seguridad en general. Esto significa que es más probable que los agentes detecten los intentos de vishing que fracasan y, de este modo, aumenten su capacidad de recuperación y aprendan para el futuro.
Refuerce las defensas con MDR
El vishing es fundamentalmente un reto con forma humana. Pero la mejor forma de abordarlo es combinando la experiencia humana con la excelencia técnica y las mejoras en los procesos, en forma de MFA, privilegios mínimos, herramientas de detección y respuesta, y mucho más.
Para los MSP (Managed Service Providers) que ofrecen servicios de asistencia, la detección y respuesta gestionadas (MDR) de proveedores como ESET puede ayudar a aliviar la presión trabajando como una extensión del equipo de seguridad interno del proveedor externo. De esta forma, pueden centrarse en ofrecer el mejor servicio de asistencia posible, con la tranquilidad de que un equipo experto está monitorizando las señales 24/7 con IA avanzada, para detectar cualquier cosa sospechosa.
¡Para todos nuestros lectores!
Aprovechen esta oportunidad de obtener un trial gratuito de 30 días para Google Workspace, la mejor solución para tu empresa. Disfruta de todas sus funcionalidades, como correo electrónico personalizado, almacenamiento en la nube y herramientas de colaboración.
