Aumento de ataques vishing que roban MFA para comprometer plataformas SaaS
Publicado el
Incremento en ataques vishing
Mandiant ha informado sobre un alarmante aumento en la actividad de amenazas asociadas con ataques de voice phishing (vishing), similares a los utilizados por el grupo de hackers ShinyHunters. Estos ataques se centran en la obtención de credenciales de inicio de sesión y códigos de multi-factor authentication (MFA) para acceder de forma no autorizada a plataformas de software como servicio (SaaS).
Según el equipo de inteligencia de amenazas de Mandiant, el modus operandi de estos ataques implica la creación de sitios web fraudulentos que imitan a empresas objetivo, con el objetivo de robar información sensible. El fin último de estas acciones es extorsionar a las víctimas mediante el acceso a datos críticos y comunicaciones internas.
Grupos de amenaza y sus tácticas
Mandiant ha catalogado esta actividad bajo varios grupos, como UNC6661, UNC6671 y UNC6240 (también conocido como ShinyHunters). Estos grupos parecen evolucionar en sus tácticas, lo que aumenta la preocupación por la seguridad en las plataformas SaaS. Los ataques se han intensificado, incluyendo tácticas de acoso hacia el personal de las víctimas.
UNC6661 ha sido identificado realizando llamadas fraudulentas haciéndose pasar por personal de IT, dirigiendo a los empleados de las organizaciones atacadas a enlaces de recolección de credenciales bajo el pretexto de actualizar sus configuraciones de MFA. Esta actividad se registró entre principios y mediados de enero de 2026. Las credenciales robadas se utilizan para registrar dispositivos propios y posteriormente moverse lateralmente por la red para exfiltrar datos de las plataformas SaaS.
En al menos un caso, los atacantes utilizaron el acceso a cuentas de correo electrónico comprometidas para enviar más correos de phishing a contactos de empresas del sector de criptomonedas, borrando posteriormente los mensajes para ocultar sus rastros.
UNC6671 también ha imitado al personal de IT para engañar a las víctimas y obtener sus códigos de MFA en sitios de recolección de credenciales que llevan la marca de la víctima. Este grupo ha logrado acceder a cuentas de clientes de Okta y ha utilizado PowerShell para descargar datos sensibles desde SharePoint y OneDrive. Las diferencias entre UNC6661 y UNC6671 radican en el uso de diferentes registradores de dominios para crear los sitios de recolección de credenciales.
Recomendaciones para mitigar el riesgo
Para contrarrestar esta amenaza, Google ha emitido una serie de recomendaciones para fortalecer la seguridad de las plataformas SaaS. Entre las medidas sugeridas se encuentran:
- Mejorar los procesos del servicio de asistencia, incluyendo la verificación de identidad mediante videollamadas. - Limitar el acceso a puntos de salida de confianza y ubicaciones físicas; implementar contraseñas robustas y eliminar métodos de autenticación como SMS y llamadas telefónicas. - Restringir el acceso al plano de gestión, auditar secretos expuestos y hacer cumplir controles de acceso a dispositivos. - Implementar registros para aumentar la visibilidad en las acciones de identidad, autorizaciones y comportamientos de exportación de SaaS. - Detectar cambios en la inscripción de dispositivos MFA y eventos de autorización de OAuth/app que puedan sugerir manipulación de buzones.
Mandiant enfatiza que esta actividad no es el resultado de una vulnerabilidad en los productos o infraestructuras de los proveedores, sino que resalta la eficacia de la ingeniería social. Se recomienda a las organizaciones adoptar métodos de MFA resistentes al phishing, como las claves de seguridad FIDO2 o passkeys, que ofrecen una mayor protección frente a ataques de ingeniería social que los métodos de autenticación basados en SMS o empujes.