¿Podría una simple llamada al servicio de asistencia técnica permitir a los actores de amenazas eludir sus controles de seguridad? Así es como su equipo puede cerrar una brecha de seguridad cada vez mayor.
15 de octubre de 2025
•
,
5 min. leer

El riesgo de la cadena de suministro está aumentando entre las empresas globales. Verizon reclamos que la participación de terceros en violaciones de datos se duplicó durante el año pasado al 30%. Sin embargo, normalmente este tipo de riesgo se enmarca en términos de problemas con componentes de código abierto (Log4Shell), software propietario (MOVEit) y proveedores tradicionales (Sinnovis). ¿Qué sucede cuando su propio subcontratista de TI es la fuente de una infracción importante?
Desafortunadamente, algunas marcas de renombre están empezando a descubrirlo, a medida que actores de amenazas sofisticados atacan a sus servicios de asistencia técnica subcontratados con ataques de vishing. La respuesta está en defensas en capas, diligencia debida y una buena formación en ciberseguridad a la antigua usanza.
Por qué los servicios de asistencia técnica son un objetivo
Las mesas de servicio de TI (o servicios de asistencia técnica) subcontratadas son una opción cada vez más popular para muchas empresas. Sobre el papel, ofrecen el tipo de ahorros de CapEx/OpEx, experiencia especializada, eficiencia operativa y escala que las PYMES en particular luchan por igualar internamente. Sin embargo, los operativos también pueden restablecer contraseñas, registrar nuevos dispositivos, elevar los privilegios de los usuarios e incluso desactivar la autenticación multifactor (MFA) para los usuarios. Esa es básicamente una lista de la mayoría, si no de todas, las cosas que un actor de amenazas necesita para obtener acceso no autorizado a los recursos de la red y moverse lateralmente. Sólo necesitan una forma de convencer al personal del servicio de asistencia técnica de que son un empleado legítimo.
Hay otras razones por las que los servicios de asistencia técnica de terceros están siendo objeto de un creciente escrutinio por parte de los actores de amenazas:
- Pueden contar con profesionales de TI o ciberseguridad en el primer peldaño de la carrera profesional. Como tal, es posible que los empleados no tengan la experiencia para detectar intentos sofisticados de ingeniería social.
- Los adversarios pueden aprovechar el hecho de que los servicios de asistencia técnica están ahí para brindar un servicio a los empleados de sus clientes y que, por lo tanto, el personal puede estar demasiado ansioso por cumplir con las solicitudes de restablecimiento de contraseña, por ejemplo.
- El personal del servicio de asistencia técnica a menudo se ve abrumado por solicitudes, como resultado de la creciente complejidad de los entornos de TI, el trabajo desde casa y la presión corporativa. Esto también puede ser aprovechado por vishers experimentados.
- Los adversarios pueden emplear tácticas que ni siquiera el personal experimentado de la mesa de servicio puede detectar, como el uso de IA para hacerse pasar por altos líderes de la empresa que «necesitan su ayuda con urgencia».
La mesa de servicio bajo fuego
Los ataques de ingeniería social al servicio de asistencia técnica no son nada nuevo. En 2019, los actores de amenazas logró secuestrar cuenta del entonces director ejecutivo de Twitter, Jack Dorsey, después de convencer a un empleado del servicio de atención al cliente de su operador de telefonía móvil para que transfiriera su número a una nueva tarjeta SIM. En ese momento, estos ataques de intercambio de SIM permitieron la interceptación de los textos de códigos de acceso de un solo uso que eran una forma popular para que los servicios autenticaran a sus usuarios.
Ejemplos más recientes incluyen:
- En 2022, el grupo LAPSUS$ comprometió con éxito a varias organizaciones de renombre, incluidas Samsung, Okta y Microsoft, después de atacar al personal de la mesa de ayuda. De acuerdo a microsoftinvestigaron a empleados específicos para responder a preguntas de recuperación comunes como «primera calle en la que vivió» o «apellido de soltera de la madre».
- Actores de amenazas del colectivo Scattered Spider recientemente han sido culpados por “Convertir la vulnerabilidad humana en un arma” con ataques de vishing a los empleados del servicio de asistencia técnica. No está claro qué organizaciones se vieron comprometidas, aunque el grupo logró violar MGM Resorts de esta manera. Eso ataque 2023 Se dice que le costó a la empresa al menos 100 millones de dólares.
- El fabricante de lejía Clorox está demandando a su proveedor de asistencia técnica Cognizant después de que un empleado supuestamente cumplió con una solicitud de restablecimiento de contraseña sin siquiera pedirle a la persona al otro lado del teléfono que verificara su identidad. El compromiso se informa que tiene le costó a la empresa 380 millones de dólares.
Algunas lecciones aprendidas
Estos ataques han tenido tanto éxito que se afirma que grupos profesionales rusos contra el cibercrimen están reclutando activamente hablantes nativos de inglés para hacer el trabajo sucio. Anuncios vistos en Los foros criminales muestran que buscan hablantes fluidos con un acento mínimo capaces de «trabajar» durante el horario comercial occidental. Esto debería ser una señal de alerta para cualquier líder de seguridad en una organización que subcontrate su servicio de asistencia técnica.
Entonces, ¿qué podemos aprender de estos incidentes? Por supuesto, se debe dar la debida diligencia a cualquier nuevo proveedor de servicios. Esto debería incluir comprobaciones de certificaciones de mejores prácticas, como ISO 27001, y revisiones de las políticas de contratación y seguridad interna. En términos más generales, los CISO deben tratar de garantizar que su proveedor cuente con:
- Procesos estrictos de autenticación de usuarios para cualquiera que llame al servicio de asistencia técnica con solicitudes confidenciales, como restablecimiento de contraseña. Esto podría incluir una política mediante la cual la persona que llama se ve obligada a colgar y el operador del servicio de asistencia le devuelve la llamada a un número de teléfono prerregistrado y autenticado. O enviando un código de autenticación por correo electrónico/mensaje de texto para continuar.
- Políticas de privilegios mínimos lo que limitará la oportunidad de movimiento lateral a recursos sensibles, incluso si el adversario logra restablecer la contraseña o similar. Y separación de funciones para el personal del servicio de asistencia técnica, de modo que las acciones de alto riesgo deben ser aprobadas por más de un miembro del equipo.
- Registro completo y monitoreo en tiempo real de toda la actividad del servicio de asistencia técnica, con miras a detener en seco los intentos de vishing.
- Formación continua de agentes. basado en ejercicios de simulación del mundo real, que se actualizan periódicamente para incluir nuevos TTP de actores de amenazas, incluido el uso de voces sintéticas.
- Evaluaciones periódicas de las políticas de seguridad. para garantizar que tengan en cuenta la evolución del panorama de amenazas, las actualizaciones internas de inteligencia sobre amenazas, los registros del servicio de asistencia técnica y los cambios en la infraestructura.
- Controles técnicos como la detección de suplantación de identidad de llamadas y audio deepfake (que ha sido utilizado por Grupo ShinyHunters). Todas las herramientas de asistencia técnica también deben estar protegidas por MFA para mitigar aún más el riesgo.
- Una cultura que fomenta la denuncia de incidentes y concienciación de seguridad en general. Eso significa que será más probable que el agente señale los intentos de vishing que fallan y, por lo tanto, genere resiliencia y aprendizajes para el futuro.
Reforzar las defensas con MDR
El vishing es fundamentalmente un desafío con forma humana. Pero la mejor manera de abordarlo es combinando la experiencia humana con la excelencia técnica y mejoras de procesos, en forma de MFA, privilegios mínimos, herramientas de detección y respuesta, y más.
Para los MSP que ofrecen servicios de asistencia técnica, la detección y respuesta administradas (MDR) de proveedores como ESET puede ayudar a aliviar la presión al trabajar como una extensión del equipo de seguridad interno del subcontratista. De esta manera, pueden concentrarse en brindar el mejor servicio de asistencia técnica posible, con la tranquilidad de que un equipo de expertos monitorea las señales las 24 horas del día, los 7 días de la semana con inteligencia artificial avanzada, para detectar cualquier cosa sospechosa.


