Ronda de Human Risk

En la edición inaugural del Human Risk Roundup, profundizamos en ejemplos recientes del mundo real sobre cómo los ciberdelincuentes explotan las vulnerabilidades humanas para vulnerar las defensas de las organizaciones. Diseñado para los CISO y los líderes de seguridad, este artículo periódico de Mimecast proporciona información práctica sobre las tácticas y estrategias psicológicas en evolución utilizadas por los atacantes, ayudándole a mantenerse a la vanguardia en la salvaguarda del activo más crítico de su organización: su gente.

El número de esta semana destaca los ataques de la araña dispersa a minoristas del Reino Unido, las campañas de phishing que explotan la infraestructura de Google mediante ataques de repetición DKIM y el resurgimiento del malware Lampion que utiliza señuelos de ClickFix, entre otros. Cada una de las historias proporciona información práctica para los responsables de seguridad que buscan mejorar las estrategias de gestión de riesgos humanos.

Ataques dispersos de arañas a minoristas del Reino Unido: Una lección de explotación humana

A finales de abril de 2025, una serie de ciberataques coordinados golpearon a tres grandes minoristas del Reino Unido: Marks & Spencer (M&S), Co-op Group y Harrods. Aunque la atribución sigue sin ser oficial, los investigadores en ciberseguridad sospechan firmemente de la implicación del conocido grupo de piratas informáticos "Araña dispersa". Este grupo es infame por explotar vulnerabilidades humanas en lugar de aprovechar exploits técnicos avanzados.

Lo que ocurrió: Según informa la BBC, el ataque a M& S comenzó en torno al fin de semana de Pascua, interrumpiendo inicialmente los servicios Click & Collect y los pagos sin contacto. El incidente del ransomware detuvo los sistemas de pago, pausó los pedidos en línea y afectó significativamente a las cadenas de suministro. Algunos proveedores, entre ellos Greencore y Nails Inc., recurrieron a procesos manuales para satisfacer las demandas de entrega debido a problemas operativos. M&S perdió aproximadamente 3,8 millones de libras esterlinas al día en ventas en línea, y se calcula que el ataque eliminó entre 500 y 700 millones de libras esterlinas de su valor de mercado. Las investigaciones sugieren que los atacantes accedieron mediante credenciales robadas obtenidas a través de técnicas como el phishing o el bombardeo de la autenticación multifactor (MFA). Aunque algunos sistemas se han reanudado, las secuelas más amplias siguen afectando a las operaciones.

El Grupo Co-op también se enfrentó este mes a un ciberataque devastador, basado en sofisticadas técnicas de ingeniería social. Los atacantes manipularon al personal informático mediante la suplantación de identidad y les convencieron para que restablecieran las contraseñas, obteniendo así acceso no autorizado a sistemas críticos. La brecha provocó interrupciones logísticas, causando escasez de alimentos frescos en muchas tiendas Co-op, especialmente en las islas de Escocia. Para mitigar la amenaza, la Cooperativa aplicó medidas como limitar el acceso a Internet y mejorar los protocolos de verificación para las reuniones virtuales. Desde entonces, el Centro Nacional de Ciberseguridad (NCSC) ha aconsejado a los minoristas que refuercen los procesos de restablecimiento de contraseñas para frenar riesgos similares.

Harrods, por su parte, contrarrestó con éxito un intento de ciberataque tomando rápidamente medidas de precaución. La empresa restringió el acceso a Internet en todas sus operaciones tras los intentos de acceso no autorizado vinculados a tácticas de ingeniería social. El enfoque proactivo del minorista de lujo impidió nuevas intrusiones, aunque los detalles de la brecha siguen sin revelarse.

Por qué es importante: Estos incidentes subrayan la creciente amenaza de los ciberataques centrados en el ser humano en el comercio minorista. M&S sirve como ejemplo paradigmático de cómo las credenciales comprometidas y las vulnerabilidades humanas pueden conducir a un caos financiero y operativo. Co-op ilustra las graves consecuencias de la ingeniería social dentro de los procesos internos de confianza, mientras que Harrods destaca la importancia de la detección y actuación rápidas para mitigar las amenazas. Invertir en formación específica, reforzar los protocolos y dotar a los empleados de las herramientas necesarias para reconocer los intentos de ingeniería social será vital para reducir el riesgo humano y reforzar la resistencia de la organización.

Lea más sobre estos ataques en nuestro blog Mimecast.

Phishing a través de la infraestructura de Google: Un ataque sofisticado a la confianza humana

En una nueva oleada de campañas de phishing, los atacantes han encontrado la forma de explotar la infraestructura de confianza de Google para enviar correos electrónicos que parecen auténticos. Según The Hacker News, estos correos electrónicos, aparentemente de"no-reply@google.com", informaban a los destinatarios de una supuesta citación de una autoridad policial. Los correos dirigían a los usuarios a una página de Google Sites que imitaba el servicio legítimo de asistencia de Google, instándoles a subir documentos o a consultar los detalles del caso.

Qué ocurrió: Los atacantes aprovecharon un ataque de repetición DKIM, lo que les permitió crear un correo electrónico con una firma válida que elude los filtros de seguridad. Esta técnica consiste en crear una aplicación Google OAuth legítima, generar una alerta de seguridad y reenviarla conservando la firma DKIM. Como resultado, los correos electrónicos de phishing parecían proceder de cuentas legítimas de Google, engañando incluso a los sistemas de seguridad avanzados.

Por qué es importante: La explotación de plataformas de confianza para distribuir contenido malicioso es un reto emergente para los equipos de seguridad informática. A medida que los atacantes utilizan cada vez más servicios en la nube legítimos para el phishing, los métodos de detección tradicionales pierden eficacia. Las organizaciones deben centrarse en la educación de los usuarios sobre la identificación de los intentos de phishing, incluso cuando los correos electrónicos parezcan fiables.

Más información en The Hacker News.

El malware Lampion regresa con señuelos de ingeniería social ClickFix

El malware Lampion, famoso por dirigirse a la información bancaria, ha resurgido con un nuevo vector de ataque llamado ClickFix. Según ha informado Palo Alto Networks, esta técnica manipula a los usuarios para que ejecuten comandos maliciosos convenciéndoles de que la acción resolverá un problema del sistema.

Lo que ocurrió: La campaña se dirige a las organizaciones portuguesas, en particular en los sectores de las finanzas, la administración y el transporte. Los atacantes envían correos electrónicos de phishing que contienen un archivo ZIP malicioso que, al abrirse, dirige a los usuarios a un sitio falso de la autoridad fiscal. Se indica a las víctimas que ejecuten un comando PowerShell, lo que provoca el robo de datos y compromete el sistema. El malware también utiliza múltiples técnicas de ofuscación para ocultar su verdadera función, lo que dificulta especialmente su detección.

Por qué es importante: ClickFix representa una tendencia creciente en la que los atacantes manipulan directamente a los usuarios en lugar de explotar las vulnerabilidades del sistema. Los responsables de seguridad deben aumentar la concienciación sobre esta técnica e implementar herramientas de supervisión que detecten ejecuciones sospechosas de la línea de comandos.

Lea más aquí.

Combatir el Human Risk con Mimecast

Tome el control del riesgo humano con Mimecast. Nuestras soluciones avanzadas bloquean más del 90% de las amenazas basadas en el correo electrónico, atacan las vulnerabilidades con eficacia y proporcionan a sus empleados las herramientas y la formación que necesitan para mantenerse seguros. Explore cómo Mimecast puede ayudar a salvaguardar su organización contra las ciberamenazas y mitigar el riesgo humano hoy mismo.