Mimecast Logo
Obtenga una cotización
    Ciberresiliencia
    Todos los temas
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Security Awareness Training

    Human Risk Roundup: Una ciudad atacada, la caída de Salesloft y VerifTools frustrado

    Baltimore pierde dinero a manos de BEC, continúan las secuelas de la brecha de Salesloft y las autoridades creen haber acabado con VerifTools

    by Renatta Siewert
    roundup-Blog.jpg

    Key Points

    • Un estafador robó más de 1,5 millones de dólares a la ciudad de Baltimore haciéndose pasar por un proveedor y manipulando al personal para cambiar los datos de la cuenta bancaria.
    • Una brecha en Salesloft, un fabricante de chatbot de IA, provocó el robo de tokens de autenticación, comprometiendo los datos de numerosas instancias corporativas de Salesforce y otros servicios integrados.
    • Una operación conjunta de las fuerzas del orden estadounidenses y holandesas ha desmantelado VerifTools, una importante plataforma de creación de documentos de identidad falsos utilizada en diversos ciberdelitos.

    En esta edición del Human Risk Roundup, nos sumergimos en tres acontecimientos recientes de gran repercusión periodística - siga leyendo para obtener más información.

    Un estafador robó más de 1,5 millones de dólares a la ciudad de Baltimore

    Un estafador robó más de 1,5 millones de dólares a la ciudad de Baltimore haciéndose pasar por un proveedor y manipulando al personal para que cambiara los datos de la cuenta bancaria, aprovechando la debilidad de los controles internos en un ataque de correo electrónico comercial comprometido (BEC). A pesar de haber recuperado parte de los fondos, el incidente pone de relieve las vulnerabilidades existentes en los procesos de cuentas por pagar de la ciudad, que ya se han enfrentado a estafas similares en el pasado.

    ¿Qué ha pasado?

    Este esquema, un ataque BEC clásico, se produjo entre febrero y marzo de 2025, con dos pagos fraudulentos por un total de 1.524.621,04 dólares. El estafador accedió a la cuenta de Workday del proveedor y alteró los datos bancarios, que fueron aprobados por los empleados de cuentas por pagar sin la debida verificación. Mientras que la ciudad recuperó 721.236,60 dólares, Los 803.384,44 dólares restantes siguen sin recuperarse y se ha presentado una reclamación al seguro. La investigación reveló controles internos deficientes y una falta de salvaguardias en el departamento de cuentas por pagar, que no había aplicado medidas correctoras tras casos de fraude anteriores. Este incidente se produce después de otras dos estafas a vendedores en Baltimore desde 2019.

    Por qué es importante

    Este ataque pone de relieve un importante incidente de ciberseguridad en el que un estafador se aprovechó de la debilidad de los controles internos. El atacante utilizó una táctica común de BEC, haciéndose pasar por un proveedor y alterando los detalles de la cuenta bancaria para redirigir los pagos. Este caso subraya la necesidad crítica de contar con procesos de verificación sólidos y salvaguardias en los sistemas financieros para evitar este tipo de fraude. También revela un patrón de vulnerabilidades recurrentes, ya que Baltimore se ha enfrentado a estafas similares en el pasado, lo que subraya la importancia de aprender de incidentes anteriores. Para el personal de ciberseguridad, esto sirve de recordatorio para dar prioridad a la formación de los empleados, implantar la autenticación multifactor y aplicar protocolos estrictos de verificación de documentos. El incidente demuestra cómo los fallos en las medidas básicas de seguridad pueden provocar importantes daños financieros y de reputación.

    Cuatro consejos prácticos para los responsables de seguridad

    1. Asegúrese de que se verifican minuciosamente todos los cambios en los datos bancarios de los proveedores. Exija varios niveles de aprobación y coteje la documentación, como los cheques anulados, para confirmar la autenticidad.
    2. Eduque a los empleados sobre cómo reconocer los intentos de phishing y los esquemas BEC. Una formación periódica puede ayudar al personal a identificar señales de alarma, como solicitudes inusuales o discrepancias en la documentación.
    3. Realice auditorías periódicas de los procesos de cuentas por pagar e implante salvaguardas para detectar y prevenir actividades fraudulentas. Esto incluye la adopción de medidas correctivas después de cualquier incidente de fraude para evitar que se repitan las vulnerabilidades.
    4. Invierta en sistemas avanzados de detección de fraudes que puedan señalar actividades sospechosas, como intentos repetidos de cambiar los datos del proveedor o acceder a las cuentas desde lugares inusuales.

    Más información sobre el ataque.

     

    Las consecuencias de una brecha en el fabricante de chatbot de inteligencia artificial Salesloft

    Una brecha en Salesloft, un fabricante de chatbot de IA, provocó el robo de tokens de autenticación, comprometiendo los datos de numerosas instancias corporativas de Salesforce y otros servicios integrados como Google Workspace y Amazon S3. El ataque, atribuido al grupo UNC6395, ha provocado un robo de datos generalizado y ha suscitado preocupación sobre la seguridad de las plataformas de identidad centralizadas, lo que ha provocado esfuerzos urgentes de remediación por parte de las organizaciones afectadas.

    ¿Qué ha pasado?

    Los piratas informáticos robaron tokens de autenticación, comprometiendo no sólo los datos de Salesforce, sino también las integraciones con servicios como Slack, Google Workspace y Amazon S3. El Grupo de Inteligencia de Amenazas de Google reveló que la brecha permitió a los atacantes exfiltrar datos sensibles, incluidas las credenciales para los servicios en la nube, lo que potencialmente permitiría nuevos compromisos. La brecha, vinculada a UNC6395, ha dado lugar a advertencias generalizadas para que las empresas invaliden todos los tokens relacionados con las integraciones de Salesloft. El incidente forma parte de una tendencia más amplia de ataques de ingeniería social, con grupos como ShinyHunters y Scattered Spider que explotan los tokens de acceso para infiltrarse en los sistemas. Salesloft ha contratado a Mandiant para investigar la brecha, pero la causa raíz sigue sin estar clara.

    Por qué es importante

    Esta brecha pone de manifiesto vulnerabilidades críticas en la seguridad de los tokens de autenticación, que afectan no sólo a Salesforce, sino también a las integraciones con plataformas importantes como Google Workspace, Slack y Microsoft Azure. El personal de ciberseguridad debe actuar con rapidez para mitigar los riesgos, pues los atacantes ya han explotado los tokens robados para acceder a datos corporativos sensibles, incluidas las credenciales de servicios en la nube como AWS y Snowflake. Este incidente subraya los peligros de "authorization sprawl," donde los atacantes aprovechan el acceso legítimo de los usuarios para moverse sin ser detectados a través de los sistemas. La brecha también revela la creciente sofisticación de grupos de amenazas como UNC6395, que utilizan la ingeniería social y el robo de tokens para eludir las medidas de seguridad tradicionales. Este caso sirve de crudo recordatorio de los riesgos en cascada que plantean las integraciones de terceros en los ecosistemas informáticos modernos.

    Cuatro consejos prácticos para los responsables de seguridad

    1. Invalide y reemita proactivamente los tokens de autenticación, especialmente en el caso de integraciones de terceros, para minimizar el riesgo de robo de tokens y de acceso no autorizado.
    2. Implemente controles estrictos para evitar el "authorization sprawl" de "," donde los atacantes se aprovechan de los tokens de acceso de usuarios legítimos para moverse sin ser detectados entre sistemas. Las auditorías regulares de los permisos de acceso y del uso de tokens pueden ayudar a mitigar este riesgo.
    3. Evalúe y asegure las integraciones de terceros, ya que pueden ser un eslabón débil en su cadena de seguridad. Asuma que los datos conectados a las integraciones comprometidas pueden estar en peligro y tome medidas de reparación inmediatas.
    4. Forme a los empleados para que reconozcan y respondan a las tácticas de ingeniería social, como el phishing de voz, que los atacantes utilizan para acceder a sistemas sensibles. Los simulacros regulares y las campañas de concienciación pueden reforzar las defensas contra estas amenazas.

    Más información sobre la brecha.

     

    Una operación policial incauta la plataforma de documentos de identidad falsos VerifTools

    Una operación conjunta de las fuerzas del orden estadounidenses y holandesas ha desmantelado VerifTools, una importante plataforma de creación de documentos de identidad falsos utilizada en diversos delitos cibernéticos, como el phishing y el robo de criptomonedas. Las autoridades incautaron servidores y dominios, y se están llevando a cabo investigaciones para identificar a los administradores y usuarios de la plataforma, lo que supone un paso importante en la lucha contra el fraude de identidad y la ciberdelincuencia.

    ¿Qué ha pasado?

    La operación consistió en la incautación de servidores en Ámsterdam y nombres de dominio en Estados Unidos, que se utilizaron para generar documentos de identidad falsos por tan sólo 9 dólares. Estas identificaciones falsas fueron explotadas en diversos delitos cibernéticos, como el phishing, el fraude en el servicio de asistencia y la evasión de los sistemas de verificación financiera. Los investigadores analizan ahora los datos incautados para identificar a los administradores y usuarios de la plataforma. La investigación del FBI, que comenzó en 2022, vinculó a VerifTools con al menos 6,4 millones de dólares en beneficios ilícitos. Las autoridades subrayaron la importancia de centrarse en este tipo de plataformas para combatir eficazmente el fraude y la usurpación de identidad.

    Por qué es importante

    La retirada de VerifTools es un avance significativo para el personal de ciberseguridad. Esta plataforma permitió a los delincuentes eludir los sistemas de verificación de identidad, facilitando la suplantación de identidad, el robo de criptomonedas y otros ciberdelitos. Al incautarse de sus servidores y dominios, las fuerzas del orden desbarataron una herramienta clave en el ecosistema del cibercrimen como servicio. La operación pone de relieve la importancia de atacar no sólo a los ciberdelincuentes, sino también a la infraestructura que sustenta sus actividades. Para los equipos de ciberseguridad, esto subraya la necesidad de reforzar los procesos de verificación de identidad y vigilar la actividad fraudulenta. Además, el éxito de la investigación demuestra el valor de la colaboración internacional en la lucha contra las ciberamenazas.

    Cuatro consejos prácticos para los responsables de seguridad

    1. Asegúrese de que sus procesos de verificación de identidad son lo suficientemente sólidos como para detectar e impedir el uso de documentos de identidad falsos. Esto incluye el aprovechamiento de tecnologías avanzadas como la IA y el aprendizaje automático para identificar anomalías en los documentos presentados.
    2. Establezca alianzas sólidas con los organismos encargados de hacer cumplir la ley para compartir inteligencia y colaborar en las investigaciones dirigidas a las plataformas de ciberdelincuencia y sus usuarios.
    3. Manténgase informado sobre la evolución de la economía del cibercrimen como servicio, que proporciona herramientas como identificaciones falsas, programas maliciosos y servidores a prueba de balas. Comprender estas tendencias puede ayudar a anticipar y mitigar las amenazas emergentes.
    4. Lleve a cabo programas regulares de formación y concienciación para que los empleados y los clientes reconozcan y denuncien los ataques de phishing, los fraudes en el servicio de asistencia y otras estafas que se aprovechan de documentos de identificación falsos.

    Más información sobre la operación.

    roundup-Blog.jpg
    Up Next
    Security Awareness Training |
    Human Risk Roundup: Un gusano autorreplicante, una detención en el Reino Unido y un susto por una cuenta de Facebook

    Related Articles

    Security Awareness Training
    Cómo medir el Human Risk: 7 métricas clave
    Security Awareness Training
    Racionalización de las estrategias de ciberseguridad: El papel de la gestión de Human Risk
    Security Awareness Training
    Resumen de Human Risk: Bombas de correo electrónico, ataques basados en navegadores y empresas de drones

    Suscríbase a Cyber Resilience Insights para leer más artículos como éste

    Reciba las últimas noticias y análisis del sector de la ciberseguridad directamente en su bandeja de entrada

    Inscríbase con éxito

    Gracias por inscribirse para recibir actualizaciones de nuestro blog

    ¡Estaremos en contacto!

    Back to Top