Human Risk Roundup: Los estafadores utilizan la IA para imitar a Marco Rubio

Esta edición del Human Risk Roundup incluye estafas de suplantación de identidad impulsadas por IA y dirigidas a altos funcionarios, sofisticadas violaciones de sistemas de terceros y ataques híbridos físico-digitales. Estos incidentes subrayan la urgente necesidad de que los responsables de seguridad adopten defensas de varios niveles, mejoren la formación de los empleados y se adelanten a las amenazas emergentes. Obtenga más información sobre cuatro casos recientes que ponen de relieve las diversas tácticas que emplean los ciberdelincuentes, además de ideas prácticas para fortificar su organización contra estos riesgos.

Un impostor utiliza IA para hacerse pasar por Rubio y contactar con funcionarios extranjeros y de EE.UU.

El Departamento de Estado ha advertido a los diplomáticos estadounidenses sobre los intentos de suplantación de identidad basados en IA dirigidos contra el Secretario de Estado Marco Rubio y otros funcionarios, con estafadores que utilizan mensajes de texto, de Signal y de voz generados por IA para ponerse en contacto con ministros extranjeros y funcionarios estadounidenses. Aunque los engaños se consideraron poco sofisticados, estos incidentes ponen de relieve la creciente preocupación por el uso indebido de la IA para el engaño, lo que suscita llamamientos a mejorar la ciberseguridad y la alfabetización mediática.

¿Qué ha pasado?

El Departamento de Estado alertó a los diplomáticos estadounidenses sobre los intentos de hacerse pasar por el Secretario de Estado Marco Rubio y otros funcionarios utilizando mensajes de texto y de voz generados por IA. Los estafadores apuntaron a ministros de asuntos exteriores, un senador estadounidense y un gobernador a través de plataformas como Signal y el buzón de voz, aunque los engaños fueron descritos como poco sofisticados. 

El FBI también advirtió sobre campañas maliciosas que implican suplantaciones generadas por IA de altos funcionarios estadounidenses. No es la primera vez que Rubio es blanco de ataques, ya que en un vídeo anterior de deepfake se le atribuían falsamente declaraciones controvertidas. La creciente prevalencia de las estafas impulsadas por la IA ha suscitado debates sobre las soluciones, entre las que se incluyen las sanciones penales, la mejora de la alfabetización mediática y el desarrollo de herramientas para detectar las deepfakes.

Por qué es importante

Estos incidentes son una preocupación crítica para los profesionales de la ciberseguridad. El uso de IA avanzada para imitar a altos cargos demuestra cómo los actores maliciosos pueden explotar la tecnología para engañar y manipular a sus objetivos. Estos incidentes ponen de relieve la necesidad de adoptar medidas de ciberseguridad sólidas para proteger las comunicaciones sensibles y evitar el acceso no autorizado a la información. 

La creciente sofisticación de las falsificaciones y los mensajes de voz generados por IA plantea retos a la hora de identificar y mitigar estas amenazas. Para los empleados de ciberseguridad, esto subraya la importancia de mantenerse a la cabeza en la carrera armamentística "" entre las herramientas de IA utilizadas para el engaño y las diseñadas para la detección. También reclama estrategias proactivas, como la mejora de la alfabetización mediática, la aplicación de protocolos de seguridad más estrictos y el desarrollo de herramientas avanzadas para identificar y contrarrestar las estafas impulsadas por la IA.

4 consejos prácticos para los responsables de seguridad

1. Mejorar la formación sobre las amenazas de la IA, incluido cómo identificar las deepfakes y las comunicaciones sospechosas.
2. Refuerce los protocolos de verificación, como la autenticación multifactor y los canales de comunicación seguros.
3. Invierta en herramientas de detección de deepfakes, como sistemas avanzados de IA diseñados para detectar y contrarrestar los deepfakes.
4. Colabore en las normas de ciberseguridad con los organismos gubernamentales, las empresas tecnológicas y sus homólogos del sector.

Más información sobre esta amenaza.  

Allianz Life sufre una brecha en el CRM de terceros que afecta a 1,4m

Allianz Life Insurance Company of North America sufrió una violación de datos que afectó a la mayoría de sus 1,4 millones de clientes debido a un ataque de ingeniería social en un sistema CRM de terceros basado en la nube. La brecha expuso datos sensibles de los clientes.

¿Qué ha pasado?

El 16 de julio de 2025, Allianz Life Insurance Company of North America sufrió una violación de datos cuando unos piratas informáticos utilizaron técnicas de ingeniería social para comprometer un sistema CRM de terceros basado en la nube. Esta brecha expuso datos sensibles pertenecientes a la mayoría de sus 1,4 millones de clientes, incluidos profesionales financieros y empleados. 

Allianz SE, la empresa matriz, confirmó que la brecha se limitaba a su filial norteamericana y no afectaba a sus operaciones globales. Los sistemas internos, como la plataforma de administración de pólizas, permanecieron seguros y la empresa notificó rápidamente al FBI y a las personas afectadas. Allianz ha ofrecido servicios de control de crédito e identidad a los afectados por la brecha.

Por qué es importante 

Este incidente muestra la importancia crítica de asegurar los sistemas de terceros, ya que a menudo son el eslabón más débil de las defensas de ciberseguridad de una organización. Los ataques de ingeniería social, como el utilizado en esta brecha, demuestran cómo los atacantes explotan las vulnerabilidades humanas para obtener acceso no autorizado. La brecha también pone de relieve la necesidad de contar con sólidas prácticas de gestión de riesgos de proveedores, ya que las plataformas de terceros pueden servir como puntos de entrada para que los atacantes accedan a datos confidenciales. 

El incidente también ilustra la creciente complejidad de los ataques a la cadena de suministro, que pueden comprometer a múltiples organizaciones a través de una única vulnerabilidad. Por último, subraya la importancia de la comunicación proactiva y el apoyo a las personas afectadas para mitigar el impacto a largo plazo de dichas violaciones.

4 consejos prácticos para los responsables de seguridad

1. Refuerce la gestión de riesgos de terceros para evaluar y supervisar las prácticas de seguridad de los proveedores externos, especialmente los que manejan datos sensibles de los clientes.
2. Mejore la concienciación sobre ingeniería social de los empleados y socios para que reconozcan y respondan a las tácticas de ingeniería social.
3. Implemente controles de acceso sólidos, como la autenticación multifactor, y limite el acceso a los sistemas críticos.
4. Prepare planes de respuesta a incidentes para contener rápidamente las brechas y comunicarse eficazmente con las partes interesadas.

Más información sobre esta amenaza.  

La araña dispersa se dirige al almacenamiento de datos Snowflake de las víctimas para una rápida exfiltración

El grupo de ciberdelincuentes Scattered Spider está atacando los sistemas de almacenamiento de datos Snowflake de las organizaciones haciéndose pasar por los servicios de asistencia informática para obtener credenciales de acceso y exfiltrar datos. A pesar de las recientes detenciones, el grupo sigue evolucionando sus tácticas de ingeniería social, lo que plantea importantes retos para las defensas de ciberseguridad.

¿Qué ha pasado?

Scattered Spider, un grupo de hackers poco afiliado, ha estado atacando los sistemas de almacenamiento de datos Snowflake de las organizaciones para robar grandes volúmenes de datos. Consiguen el acceso haciéndose pasar por los servicios de asistencia informática y utilizando tácticas de ingeniería social para engañar a los empleados y conseguir que proporcionen sus credenciales. 

También se ha observado al grupo utilizando herramientas de acceso remoto como AnyDesk y desplegando malware para mantener el acceso y llevar a cabo tareas de reconocimiento. Las últimas campañas han perturbado sectores como el comercio minorista, los seguros y las aerolíneas, provocando importantes retos operativos y de seguridad. A pesar de las detenciones de algunos miembros, el grupo sigue activo, aprovechando técnicas de spearphishing y vishing para atacar cuentas de alto valor. 

Por qué es importante 

Dirigiéndose a los servicios de asistencia informática y aprovechando el spearphishing, este grupo explota las vulnerabilidades humanas. Su uso de herramientas de acceso remoto y malware complica aún más los esfuerzos de detección y respuesta, lo que requiere capacidades avanzadas de caza de amenazas. Para el personal de ciberseguridad, los ataques subrayan la importancia de la supervisión proactiva, la formación de los empleados y las defensas multicapa para mitigar los riesgos.

4 consejos prácticos para los responsables de seguridad

1. Mejore la formación de los empleados para reconocer y responder a tácticas de ingeniería social como el phishing y el vishing.
2. Implemente la MFA, en particular aquellos con acceso a sistemas críticos como Snowflake.
3. Supervise las actividades sospechosas, como el uso indebido de cuentas no autorizadas, los inicios de sesión arriesgados y los patrones de acceso inusuales.
4. Asegure el acceso de terceros a sistemas sensibles, garantizando que las credenciales se gestionan de forma segura y se actualizan con frecuencia.

Más información sobre esta amenaza.  

Unos piratas informáticos conectaron una Raspberry Pi a un cajero automático en un intento de atraco a un banco

Piratas informáticos del grupo de ciberdelincuentes UNC2891 intentaron un atraco a un banco en la región de Asia-Pacífico instalando físicamente una Raspberry Pi con 4G en un conmutador de red conectado a un cajero automático, lo que permitió el acceso remoto a los sistemas internos del banco. Aunque su sofisticado ataque, que incluía tácticas antiforenses y malware personalizado, fue frustrado, el grupo demostró una avanzada pericia técnica y persistencia a la hora de eludir las medidas de seguridad tradicionales.

¿Qué ha pasado?

Este dispositivo permitió a los piratas informáticos eludir las defensas perimetrales y obtener acceso remoto a los sistemas informáticos internos del banco. Utilizaban técnicas antiforenses avanzadas, como los montajes bind de Linux, para ocultar sus actividades y mantener un movimiento lateral sigiloso dentro de la red. Los atacantes pretendían manipular los servidores de conmutación de los cajeros automáticos para permitir retiradas de efectivo no autorizadas. 

A pesar de sus esfuerzos, el ataque fue detectado y detenido antes de que pudieran ejecutar su plan. Sin embargo, los atacantes mantuvieron su persistencia a través de una puerta trasera en el servidor de correo del banco, lo que pone de relieve las dificultades para expulsarlos completamente de la red.

Por qué es importante

Este incidente subraya cómo los ciberdelincuentes combinan ahora el acceso físico con técnicas digitales avanzadas para violar las redes. El uso de hardware barato y disponible en el mercado, como Raspberry Pi, demuestra cómo las herramientas de bajo coste pueden convertirse en armas para ataques de alto riesgo. El uso por parte de los atacantes de métodos antiforenses y malware personalizado revela la creciente sofisticación de las ciberamenazas, que requieren capacidades avanzadas de detección y respuesta. 

El acceso persistente a través de puertas traseras enfatiza la necesidad de una respuesta exhaustiva a los incidentes y un análisis posterior a la violación. Para el personal de ciberseguridad, este caso sirve de recordatorio para adoptar una estrategia de defensa multicapa que aborde tanto las vulnerabilidades físicas como las digitales.

4 consejos prácticos para los responsables de seguridad

1. Asegure los puntos de acceso físico a infraestructuras críticas como cajeros automáticos y conmutadores de red para evitar la instalación de dispositivos no autorizados.
2. Supervise la actividad inusual de la red para detectar anomalías, como dispositivos inesperados o patrones de tráfico inusuales.
3. Mejore los planes de respuesta a incidentes para identificar y eliminar rápidamente las puertas traseras u otras amenazas persistentes después de un ataque.
4. Eduque al personal y a los socios en el reconocimiento y la notificación de actividades sospechosas, incluida la manipulación física de dispositivos.

Más información sobre esta amenaza.