El grupo de delitos cibernéticos Shinyhunters ha atraído la atención internacional después de que Google aconsejó a sus 2.500 millones de usuarios que mejoren sus protocolos de seguridad. Esta recomendación siguió a una violación de datos que explotó las vulnerabilidades dentro de Salesforce, una plataforma de gestión de clientes ampliamente utilizada.
A diferencia de las violaciones de datos convencionales que involucran intrusión directa en bases de datos, Shinyhunters, junto con otros grupos, ha empleado recientemente la ingeniería social basada en la voz, conocida como «Vishing», para atacar a las principales corporaciones. Vishing representa una forma de ingeniería social donde los individuos son manipulados para divulgar información confidencial o realizar acciones bajo falsas pretensiones.
En un ataque de Vishing, un perpetrador se hace pasar por un empleado de servicio de TI para engañar a un empleado real para revelar contraseñas o códigos de autenticación multifactor, obteniendo así el acceso al sistema no autorizado. Aunque no es una táctica novedosa, la creciente sofisticación de los deffaces profundos y la clonación de voz impulsada por la IA ha hecho que el avión sea más difícil de detectar. Estas tecnologías permiten que los delincuentes imiten de manera convincente y creen escenarios realistas, mejorando sus capacidades engañosas.
A lo largo del año en curso, varias compañías prominentes, incluidas Qantas, Pandora, Adidas, Chanel, Tiffany & Co. y Cisco, han informado ser atacadas a través de métodos crecientes similares, afectando a millones de usuarios. Estos incidentes destacan la vulnerabilidad generalizada a las tácticas de ingeniería social.
Shinyhunters, un grupo de delitos cibernéticos, surgió en 2020, reclamando la responsabilidad de ataques exitosos contra 91 víctimas. La principal motivación del grupo es la ganancia financiera, aunque han demostrado una disposición a infligir daños a la reputación en sus objetivos. En 2021, Shinyhunters anunció la venta de datos supuestamente robados de 73 millones de clientes de AT&T, ilustrando la escala de sus operaciones.
Antes de emplear a Vishing, Shinyhunters se dirigió a empresas explotando vulnerabilidades en aplicaciones en la nube y bases de datos de sitios web. Su enfoque en proveedores de gestión de clientes como Salesforce les permite acceder a extensos conjuntos de datos de varios clientes a través de un solo ataque exitoso. Este enfoque amplifica el impacto potencial de sus violaciones.
La adopción del grupo de técnicas de ingeniería social indica un cambio en su modus operandi. Según los informes, esta evolución está vinculada a sus colaboraciones con otras entidades cibercriminales. A mediados de agosto, Shinyhunters anunció en Telegram una asociación con Spider y Lapsus $ para apuntar a Salesforce y Allianz Life. Telegram retiró el canal poco después de su lanzamiento. Posteriormente, el grupo lanzó los datos de Salesforce de Allianz Life, que contenían 2.8 millones de registros relacionados con clientes y socios corporativos.
Lapsus $ Hunters, una iteración renombrada de Lapsus $, ha anunciado recientemente la provisión de ransomware como servicio. Esta oferta implica el lanzamiento de ataques de ransomware en nombre de los clientes que pagan. El grupo afirma que su servicio supera a los de otras organizaciones de delitos cibernéticos, incluidos Lockbit y Dragonforce. En lugar de negociaciones privadas, a menudo publican mensajes de extorsión públicamente.
El paisaje cibercriminal implica membresías superpuestas entre grupos como Shinyhunters, Spater Spider y Lapsus $. Estos grupos operan internacionalmente, con miembros que participan desde varios lugares en la web oscura. Más complicando las cosas, cada grupo a menudo se identifica por múltiples alias; La araña dispersa, por ejemplo, también se conoce como UNC3944, Scatter Swine, Oktapus, Octo Tempest, Storm -0875 y Muddled Libra.
Los usuarios individuales pueden tomar medidas directas limitadas contra el delito cibernético organizado. Mantener la vigilancia personal contra las estafas es crucial para la autoprotección. La ingeniería social explota efectivamente las emociones humanas y la inclinación a confiar y ayudar.
Las empresas pueden mitigar de manera proactiva los riesgos de Vishing. La implementación de capacitación en conciencia y programas de educación basados en escenarios para los empleados es vital. También se pueden implementar métodos de verificación, como los controles en la cámara que requieren que los empleados presenten insignias corporativas o identificación emitida por el gobierno. Hacer preguntas que no se pueden responder fácilmente con información disponible en línea en línea presenta otra capa de defensa.
Las organizaciones pueden reforzar la seguridad implementando aplicaciones de autenticador que exigen la autenticación multifactor resistente a phishing, incorporando técnicas como la coincidencia de números o la verificación geográfica. La coincidencia de números requiere que los usuarios ingresen números de la plataforma de identidad en la aplicación Authenticator para validar las solicitudes de autenticación. Geo-Verificación utiliza la ubicación física del usuario como un factor de autenticación adicional.
