En los últimos meses ha emergido un patrón inquietante: grupos de ciberdelincuencia están aprovechando la relación de confianza entre empresas y proveedores de servicios externos para abrir puertas hacia compañías de alto valor. Según los análisis de los equipos de inteligencia de amenazas de Google, un actor rastreado como UNC6783 ha estado comprometiendo proveedores de outsourcing de procesos empresariales (BPO) para luego pivotar hacia sus clientes y extraer información sensible que después utilizan para exigir rescates.
Lo que hace a esta táctica especialmente peligrosa es su sencillez aparente y su eficacia. En lugar de intentar vulnerar directamente a una gran corporación, los atacantes enfocan su esfuerzo en las empresas que ya tienen acceso legítimo a datos, herramientas o sistemas internos. Al atacar el eslabón externo —el BPO— reducen la superficie de ataque y aumentan la probabilidad de éxito al explotar relaciones de confianza y canales de soporte. Google y otros equipos de respuesta han documentado campañas en las que decenas de entidades corporativas han resultado afectadas mediante este método.
Los vectores que emplea UNC6783 son, en su mayoría, de ingeniería social: campañas de phishing dirigidas y ataques a agentes de soporte por chat en vivo. En estos incidentes los atacantes guían a empleados de helpdesk hacia páginas de inicio de sesión falsificadas que imitan servicios de identidad o paneles de soporte, a menudo utilizando dominios diseñados para parecer legítimos. El objetivo no es sólo robar credenciales, sino también sortear barreras como la autenticación multifactor (MFA). Según el análisis compartido por Austin Larsen, analista principal del grupo de inteligencia de Google, algunos kits de phishing desplegados en estas campañas son capaces incluso de capturar contenido del portapapeles para burlar factores adicionales de seguridad y registrar dispositivos como si fueran de confianza.
Además del abuso del chat en vivo y las páginas de login fraudulentas, se han observado intentos más directos: la distribución de supuestas actualizaciones de seguridad que en realidad instalan malware de acceso remoto, o la suplantación de empleados para ganarse privilegios dentro de sistemas críticos. Estos métodos permiten a los atacantes moverse lateralmente, recolectar datos y, finalmente, preparar una operación de extorsión. En numerosos casos los ciberdelincuentes han contactado a las víctimas a través de cuentas de correo cifrado y anónimas —por ejemplo, servicios como ProtonMail— para solicitar pagos a cambio de no publicar la información sustraída.
Los investigadores también han señalado la posible conexión entre UNC6783 y una identidad conocida como “Raccoon”. Informes y publicaciones en redes han atribuido a esa persona o grupo reclamaciones de brechas contra grandes empresas, alegando acceso tras comprometer un BPO. Algunas de estas afirmaciones todavía no han sido plenamente verificadas por las compañías implicadas, pero ilustran un patrón recurrente: el compromiso de proveedores externos seguido de filtraciones o demandas de pago.
Ante este escenario, las recomendaciones de defensa combinan medidas técnicas y operativas. En lo técnico, la adopción de mecanismos de autenticación realmente resistentes al phishing, como llaves de seguridad basadas en FIDO2, reduce drásticamente la capacidad de estos kits para falsificar accesos. Google y equipos de respuesta incidentes subrayan además la importancia de monitorear y proteger los canales de soporte en vivo, porque son vectores que permiten a un atacante manipular interacciones humanas en tiempo real. Otra práctica esencial es bloquear dominios que imitan patrones legítimos de proveedores de soporte —por ejemplo, variaciones que se hacen pasar por subdominios de plataformas de atención— y auditar periódicamente los registros de dispositivos inscritos en MFA para detectar inscripciones fraudulentas.
Estas recomendaciones no son teoría: adoptar controles más estrictos y trabajar de forma coordinada con proveedores puede marcar la diferencia entre un incidente contenido y una filtración masiva. La seguridad ya no puede limitarse a las fronteras del ambiente corporativo; debe extenderse a la cadena de proveedores, con contratos, evaluaciones técnicas y simulacros de respuesta que incluyan al BPO.
Si quiere profundizar en los análisis y observaciones públicas sobre estas campañas, los informes y comunicados de los equipos de inteligencia de Google ofrecen un punto de partida para comprender tácticas y artefactos utilizados. Puede consultar el repositorio de publicaciones del Threat Analysis Group de Google para ver investigaciones y recomendaciones: https://blog.google/threat-analysis-group/. Para contexto periodístico y cobertura sobre incidentes atribuidos a estos actores y reclamos públicos de brechas, medios especializados como BleepingComputer han seguido la evolución de los casos: BleepingComputer — cobertura sobre UNC6783. También se han divulgado alegaciones en redes sociales por cuentas que siguen inteligencia abierta, como esta publicación en X que detalló supuestas reclamaciones de “Mr. Raccoon”: https://x.com/IntCyberDigest/status/2039774692085526854, y declaraciones técnicas compartidas por analistas en LinkedIn: publicación de Austin Larsen. Para referencias sobre mecanismos de autenticación resistentes al phishing, la alianza FIDO mantiene recursos y guías: https://fidoalliance.org/.
En definitiva, el caso de UNC6783 es un recordatorio de que la seguridad es un ecosistema compartido. Proteger a la organización hoy implica colaborar estrechamente con los socios que manejan datos y servicios críticos, combinar controles técnicos sólidos con concienciación humana, y revisar continuamente las configuraciones de acceso. Aquellas empresas que empiecen a incorporar estas prácticas estarán mejor posicionadas para interrumpir las campañas de extorsión antes de que escalen.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...