Human Risk Roundup: La araña dispersa apunta a las aseguradoras
Los ciberdelincuentes aprovechan los flujos de trabajo del servicio de asistencia técnica para violar sistemas sensibles en ataques específicos al sector
Key Points
- Scattered Spider se dirige al sector de los seguros con tácticas avanzadas de ingeniería social.
- El grupo UNC6293, respaldado por el Estado ruso, se hace pasar por el Departamento de Estado estadounidense para infiltrarse en cuentas de correo electrónico.
- El DHS advierte del aumento de las operaciones cibernéticas por parte de los actores iraníes de la amenaza en medio de las tensiones mundiales.
- La campaña Astaroth Infostealer continúa su oleada de ataques de phishing, centrándose en gran medida en América Latina.
En esta edición del Human Risk Roundup, Scattered Spider, un grupo de ciberdelincuentes conocido por su enfoque sectorial, se ha centrado en las compañías de seguros en su última oleada de ataques. Y los investigadores de amenazas de Google advierten de que una sofisticada campaña de phishing tiene como objetivo a académicos y críticos de Rusia haciéndose pasar por el Departamento de Estado de Estados Unidos.
La araña dispersa teje su tela en torno al sector de los seguros
El grupo de amenazas responsable de una reciente serie de ataques a minoristas británicos está poniendo ahora sus miras en las empresas de seguros. Scattered Spider, también conocido como UNC3944, es conocido por sus avanzadas tácticas de ingeniería social y también por dirigirse a un sector a la vez. Tres aseguradoras sufrieron ataques en un periodo de cinco días este mes.
¿Qué ha pasado?
"El Grupo de Inteligencia sobre Amenazas de Google tiene conocimiento de múltiples intrusiones en EE.UU. que presentan todas las características de la actividad de la Araña Dispersa. Ahora estamos viendo incidentes en el sector de los seguros, dijo John Hultquist, analista jefe de GTIG, en", en un correo electrónico enviado a varios medios de comunicación. El grupo utiliza esquemas de ingeniería social para explotar los servicios de asistencia y los centros de llamadas. Los actores de las amenazas se hacen pasar por empleados y utilizan maniobras psicológicas para engañar a los equipos informáticos y conseguir que se salten la autenticación multifactor (MFA) y otros controles de acceso.
Por qué es importante
La entrada de Scattered Spider en el sector de los seguros no sólo plantea riesgos directos para las operaciones de las aseguradoras, sino que también puede exponer los registros de los asegurados e información sensible. Estos ataques se aprovechan de la dependencia del sector de los servicios de asistencia y de las grandes huellas de los empleados. Dada la supuesta afiliación del grupo con actores de ransomware y sus recientes asociaciones en el panorama de la ciberdelincuencia, este cambio de enfoque podría dar lugar a graves violaciones de datos y extorsiones para una industria que depende en gran medida de la confianza.
Consejos prácticos para los responsables de seguridad en el sector de los seguros
Aumente la concienciación sobre las tácticas de ingeniería social: Asegúrese de que los empleados del servicio de asistencia y el personal de primera línea están formados para reconocer los intentos de suplantación de identidad y responder adecuadamente a las interacciones sospechosas.
Fomente los procesos de validación de los empleados: Implemente protocolos claros para verificar las identidades de los empleados antes de concederles acceso a sistemas sensibles o de restablecer las credenciales de las cuentas.
Vigile de cerca los comportamientos relacionados con el correo electrónico: Revise regularmente la actividad del correo electrónico en busca de signos de compromiso, como reglas de reenvío inusuales, solicitudes de restablecimiento de contraseña inesperadas o accesos desde lugares desconocidos.
Más información en The Hacker News.
Ciberatacantes rusos suplantan la identidad del Departamento de Estado de EE.UU.
Una sofisticada campaña de phishing del grupo ruso patrocinado por el Estado UNC6293 ha apuntado a personas influyentes, como académicos y críticos de Rusia, haciéndose pasar por el Departamento de Estado de Estados Unidos. La campaña pone de relieve la creciente amenaza de los ataques de ingeniería social dirigidos que se aprovechan de la confianza para eludir incluso los controles de seguridad avanzados.
¿Qué ha pasado?
De abril a junio de 2025, UNC6293 llevó a cabo dos campañas coordinadas de phishing destinadas a obtener acceso a largo plazo a las cuentas de correo electrónico de las víctimas. Los atacantes enviaron correos electrónicos bien elaborados utilizando direcciones falsas del Departamento de Estado de EE.UU. para aparentar credibilidad. Una vez que las víctimas respondían, los hackers les guiaban para que crearan contraseñas específicas para aplicaciones (ASP), códigos de 16 caracteres diseñados para el acceso de aplicaciones de terceros a cuentas de Google.
Los atacantes utilizaron estos ASP para entrar en las cuentas de correo electrónico de las víctimas a través de clientes de correo y obtuvieron acceso a largo plazo a sus cuentas. Se identificaron dos enfoques: uno utilizó un señuelo temático del Departamento de Estado y el otro adoptó la marca ucraniana y de Microsoft para aumentar su atractivo. Ambas campañas se apoyaron en proxies residenciales y otras infraestructuras para ocultar sus actividades y mantener el acceso.
Por qué es importante
Las tácticas de UNC6293 muestran cómo la manipulación humana selectiva puede ayudar a los atacantes a eludir fuertes medidas de seguridad como la autenticación multifactor (MFA). Al obtener acceso al correo electrónico a nivel interno, estos actores pueden vigilar las comunicaciones confidenciales, robar datos y posicionarse para una mayor explotación. Esta campaña es un duro recordatorio de que el phishing ya no es sólo una táctica de rociar y rociar; es una estrategia calculada que se aprovecha de la confianza y de las vulnerabilidades humanas.
Consejos prácticos para los responsables de seguridad
Refuerce las protecciones contra los correos electrónicos de phishing: Implemente sistemas que detecten y bloqueen de forma proactiva los correos electrónicos sospechosos, incluidos aquellos con direcciones de remitentes falsos o enlaces diseñados para robar credenciales.
Señale y verifique las comunicaciones externas: Utilice medidas para alertar a los empleados de los riesgos potenciales en los correos electrónicos procedentes de fuentes externas no verificadas, ayudándoles a escrutar los intentos de comunicación inusuales.
Supervise y audite la actividad de las cuentas: Compruebe regularmente el comportamiento de inicio de sesión y los patrones de acceso a las cuentas en busca de anomalías, como el inicio de sesión desde ubicaciones desconocidas o dispositivos no autorizados.
Aumente la concienciación de los usuarios: Proporcione educación continua a los empleados sobre las tácticas de phishing emergentes, capacitándoles para identificar y denunciar las estafas a medida que se dirigen a las vulnerabilidades humanas.
Lo que hay que vigilar: El DHS advierte de ciberataques desde Irán
El Departamento de Seguridad Nacional (DHS) está advirtiendo sobre la posibilidad de que aumente la actividad cibernética maliciosa procedente de Irán tras los ataques militares estadounidenses contra instalaciones nucleares iraníes. El boletín advierte de que es probable que operativos iraníes y hacktivistas de apoyo lleven a cabo ciberataques de bajo nivel contra redes estadounidenses como represalia.
Además de las amenazas cibernéticas, el DHS destacó un mayor riesgo para la seguridad de los funcionarios del gobierno estadounidense y los críticos del régimen iraní. Los piratas informáticos vinculados a Irán tienen un historial de ataques contra infraestructuras críticas poco seguras, incluidas las empresas de suministro de agua y las compañías tecnológicas.
Lea más sobre esta noticia en desarrollo en Cybersecurity Dive.
Inteligencia sobre amenazas de Mimecast: Nueva oleada de la campaña Astaroth Infostealer
Samantha Clarke y el equipo de Investigación de Amenazas de Mimecast han descubierto una nueva oleada de la campaña Astaroth Infostealer, una sofisticada operación de malware dirigida a Latinoamérica, en particular a Brasil y México. Este sofisticado malware, activo desde 2017, emplea técnicas de ataque sin archivos para eludir la detección y utiliza correos electrónicos de phishing para iniciar las infecciones. Se atrae a las víctimas para que hagan clic en enlaces maliciosos que descargan JavaScript ofuscado, lo que permite al malware robar información confidencial, como credenciales bancarias.
Las operaciones de Astaroth se caracterizan por el geofencing y las tácticas de ingeniería social a medida, lo que la hace especialmente eficaz en las regiones a las que se dirige. Con una asombrosa distribución diaria de hasta 100.000 correos electrónicos de phishing, la campaña supone una amenaza significativa. Se insta a las organizaciones a mejorar sus medidas de seguridad del correo electrónico y la concienciación de los usuarios para combatir esta amenaza en constante evolución.
Para más información sobre Astaroth Infostealer, visite nuestro Hub de Inteligencia de Amenazas.
Suscríbase a Cyber Resilience Insights para leer más artículos como éste
Reciba las últimas noticias y análisis del sector de la ciberseguridad directamente en su bandeja de entrada
Inscríbase con éxito
Gracias por inscribirse para recibir actualizaciones de nuestro blog
¡Estaremos en contacto!