En los últimos días ha vuelto a aparecer una táctica que demuestra cómo la ingeniería social puede seguir vulnerando incluso las barreras más sofisticadas de seguridad: grupos delictivos están aprovechando llamadas telefónicas falsas para engañar a empleados y obtener acceso a cuentas de inicio único (SSO) de empresas. Estas cuentas actúan como llaves maestras hacia las aplicaciones en la nube de una organización, por lo que su compromiso puede derivar en robos de información, intrusiones posteriores y demandas de extorsión.
La mecánica es perturbadoramente sencilla y efectiva: un atacante se hace pasar por soporte técnico, contacta a un trabajador y le guía para introducir sus credenciales en una página que imita el portal de la compañía. Mientras tanto, un panel de control del kit de phishing permite al atacante adaptar en tiempo real lo que el usuario ve, solicitando también los códigos MFA o la aprobación de notificaciones push cuando es necesario. El resultado: acceso al SSO y a las aplicaciones enlazadas desde ese panel, desde soluciones de correo y CRM hasta plataformas de colaboración y almacenamiento.
Empresas que ofrecen SSO, como Okta, Microsoft (Entra) y Google, facilitan que las organizaciones conecten muchas aplicaciones a un único flujo de autenticación, lo cual mejora la productividad pero también concentra el riesgo. En esos paneles suelen aparecer las aplicaciones vinculadas —correo corporativo, CRM, herramientas de soporte y repositorios de documentos— de modo que una cuenta comprometida puede convertirse en una puerta directa a activos sensibles.
Okta publicó un análisis técnico sobre los kits de phishing que ayudan a ejecutar estas campañas. En su informe la compañía describe cómo estas herramientas permiten cambiar dinámicamente los diálogos en la página de suplantación para guiar al usuario paso a paso durante la llamada, incluso cuando la verificación solicita factor adicional como push o TOTP. Puede leerse el análisis de Okta en su blog técnico: Okta Threat Intelligence.
La investigación periodística que alertó sobre la oleada de ataques citó a empresas que recibieron exigencias de pago firmadas por el grupo de extorsión que se hace llamar ShinyHunters. El propio grupo declaró a medios que está detrás de algunas de estas campañas y que su interés principal son los datos alojados en plataformas CRM como Salesforce; aseguró además disponer de infraestructura para ejecutar llamadas y páginas fraudulentas. Más detalles sobre la cobertura de noticias se pueden encontrar en BleepingComputer, que ha seguido el caso.
Una práctica especialmente peligrosa en estas intrusiones es el uso de datos previamente filtrados para aumentar la credibilidad de las llamadas: números de teléfono, cargos, nombres y detalles corporativos extraídos de brechas anteriores permiten al atacante personificar mejor a alguien del equipo de TI y reducir las dudas del empleado contactado. Tras la intrusión, los atacantes suelen extraer documentos y bases de datos para luego amenazar con publicarlos o venderlos si no reciben un rescate.
Los incidentes reportados recientemente se han vinculado a empresas cuyos datos aparecieron en filtraciones previas o que han confirmado accesos no autorizados en sus redes. Algunos servicios afectados por filtraciones recientes —según informes públicos— incluyen plataformas como SoundCloud o Crunchbase; estas organizaciones han emitido comunicados y están investigando los alcances de los incidentes. Lea las notas oficiales de las compañías para conocer su versión y medidas: por ejemplo, la página de prensa y avisos de Crunchbase o los comunicados de SoundCloud cuando procedan.
Las respuestas de los grandes proveedores han sido cautelosas. Microsoft indicó que no tenía declaraciones adicionales por el momento, y Google señaló que no tenía evidencias de abuso directo de sus productos en esa campaña en el momento del reporte. Cuando ocurren ataques que explotan el factor humano más que fallos técnicos, la comunicación pública suele ser gradual mientras se investigan los vectores y se mitigan riesgos.
¿Qué pueden hacer las organizaciones para reducir este riesgo? La primera línea de defensa es reconocer que la llamada "confirmación humana" no es garantía absoluta: la formación continua en detección de suplantaciones, los ejercicios de phishing por parte del propio equipo de seguridad y los protocolos internos de verificación telefónica ayudan, pero no bastan por sí solos. Es clave combinar concienciación con controles técnicos que dificulten el abuso incluso si las credenciales llegan a manos del atacante.
Entre las recomendaciones técnicas que las empresas deberían evaluar están el despliegue de mecanismos de autenticación resistentes al phishing, como llaves FIDO2 y otros autenticadores físicos; la aplicación de políticas de acceso condicional que limiten la sesión y requieran reautenticación ante comportamientos anómalos; la segmentación de privilegios para que una cuenta no tenga acceso indiscriminado a todas las aplicaciones; y la monitorización y respuesta temprana basada en detección de patrones sospechosos en las sesiones SSO. Microsoft y Google publican guías sobre buenas prácticas de acceso y gestión de identidades que pueden servir como punto de partida: Microsoft Conditional Access y Guías de seguridad de Google Workspace.
También es importante reducir la superficie de ataque. Limitar los permisos otorgados a cuentas de usuario, desactivar métodos de recuperación que puedan ser cooptados por los atacantes y controlar la creación de aplicaciones de terceros dentro del SSO son decisiones operativas que dificultan la explotación masiva tras un compromiso inicial.
Desde la perspectiva regulatoria y de cumplimiento, conservar trazas de auditoría, tener planes de respuesta a incidentes actualizados y colaborar con fuerzas de seguridad cuando se detecta exfiltración son pasos que permiten no solo contener el daño, sino también preservar evidencia y cumplir obligaciones legales. Las organizaciones que sufren robos masivos de datos suelen necesitar coordinación entre equipos técnicos, legales y de comunicación para gestionar la crisis.
La lección central es que los atacantes no siempre buscan fallos en los servicios: muchas veces apuntan al eslabón más débil, que suele ser una persona con prisa y una llamada convincente. La combinación de formación, controles técnicos robustos y políticas que limiten el impacto de un acceso comprometido es la defensa más práctica hoy. Instituir la autenticación resistente al phishing, endurecer el control de accesos y mantener procedimientos claros para llamadas de soporte puede marcar la diferencia entre un intento fallido y una intrusión que acabe filtrando información sensible.
Si quieres profundizar en el tema técnico, además del análisis de Okta y la cobertura periodística, documentos como la guía de NIST sobre autenticación ofrecen fundamentos para diseñar arquitecturas de acceso más seguras: NIST SP 800-63B. Y si tu empresa usa SSO, es recomendable revisar las configuraciones de acceso condicional y la gestión de sesiones en la documentación oficial de tu proveedor.
El fenómeno no es nuevo, pero su escala e ingeniería han ido evolucionando: los kits de phishing con control remoto y la reutilización de datos de brechas anteriores han vuelto estas campañas más persuasivas y difíciles de detectar. Mantener la guardia alta y aplicar defensa en profundidad sigue siendo la mejor receta frente a un adversario que explota la confianza humana para abrir puertas digitales.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...