Google y el FBI detectan grupo de ciberdelincuentes que envían a falsos trabajadores para robar información

Equipos de ciberseguridad de Google y el FBI han identificado una tendencia preocupante en la actividad de grupos de ransomware: el envío de falsos empleados de soporte técnico a las oficinas de las víctimas para robar información directamente de los ordenadores.

Según un informe publicado por los equipos de Mandiant y Google Threat Intelligence Group, el grupo criminal conocido como Silent Ransom Group ha intensificado sus ataques, combinando métodos tradicionales de phishing y suplantación con intrusiones físicas desde enero hasta mayo de este año, afectando a decenas de entidades.

Falsos trabajadores y acceso físico a los sistemas

El reporte de Google revela que el Silent Ransom Group ha recurrido a la presencia de impostores que se hacen pasar por personal de soporte informático. Estos individuos ingresan a las oficinas, conectan dispositivos USB a los ordenadores de los empleados o ayudan a otros miembros del grupo a establecer conexiones remotas para extraer información confidencial. Los datos robados incluyen contratos, números de la Seguridad Social y registros financieros y fiscales.

Un portavoz del FBI confirmó a TechCrunch que existen múltiples casos en los que personas han logrado, o intentado, obtener acceso físico a las oficinas y dispositivos de las compañías objetivo bajo la apariencia de personal técnico. Esta modalidad representa una escalada significativa respecto a los ataques tradicionales, donde los delincuentes rara vez acudían personalmente a los lugares afectados.

Métodos de extorsión sin cifrado

A diferencia de los ataques clásicos de ransomware, el Silent Ransom Group no siempre cifra la información de las víctimas. En cambio, utiliza un sitio web propio para amenazar con publicar los datos sustraídos si no reciben un pago. Los hackers primero contactan directamente a las víctimas a través de correo electrónico para exigir el rescate. “En caso de ignorancia o falta de acuerdo, notificaremos a sus empleados, socios y clientes, tras lo cual publicaremos sus datos”, escribieron a una de las empresas afectadas, según el informe de Google.

Esta estrategia de extorsión, que omite el cifrado de archivos pero amenaza con la exposición pública de información sensible, se ha convertido en una práctica común entre grupos criminales, buscando maximizar la presión sobre las víctimas.

Ingeniería social y manipulación telefónica

El informe detalla que el grupo utiliza además métodos más convencionales, como correos de phishing, llamadas telefónicas de seguimiento y técnicas de ingeniería social para acceder a los sistemas. Los ciberdelincuentes se hacen pasar por el equipo de soporte informático de la compañía, convenciendo a los empleados de participar en sesiones de compartición de pantalla o de instalar aplicaciones bajo el pretexto de resolver problemas de seguridad o participar en supuestos proyectos de migración de datos.

Durante estas interacciones, los atacantes guían verbalmente a los objetivos para que faciliten el acceso remoto o descarguen aplicaciones que permiten a los hackers sortear los controles de seguridad de la empresa, utilizando herramientas como Zoom o Microsoft Teams.

Una amenaza creciente y sofisticada

El jefe de tecnología de Mandiant, Charles Carmakal, explicó a TechCrunch que han investigado casos donde los atacantes han plantado infiltrados, sobornado empleados o ingresado físicamente a edificios para facilitar ataques cibernéticos.

Aunque la mayoría de las brechas de datos se producen de manera remota mediante malware o suplantación digital, los últimos incidentes muestran una tendencia hacia la mezcla de técnicas digitales y físicas, lo que supone una evolución significativa en la sofisticación de los ciberdelincuentes.

El FBI y Google recomiendan a las empresas reforzar sus protocolos de verificación de personal y sensibilizar a sus empleados sobre estos nuevos métodos de ataque, que combinan la manipulación digital con la intrusión presencial para acceder a información crítica.