Home > Blog > Informe de (In)seguridad: Abuelita Cracker, Estafas de Soporte Técnico Falsas, La Fiebre del Oro de Credenciales

Informe de (In)seguridad: Abuelita Cracker, Estafas de Soporte Técnico Falsas, La Fiebre del Oro de Credenciales

08.07.2025

Volver

En esta edición de julio, destacamos a persistentes chantajistas africanos, un ataque de ransomware que borró un siglo de historia, un incidente apodado como la 'mayor filtración en la historia', y mucho más.

Una oportunidad, una sola oportunidad

Qué ocurrió: Un cracker accedió a los datos de casi 300.000 texanos a través de una cuenta comprometida.

Cómo ocurrió: En mayo, el Departamento de Transporte de Texas detectó actividad sospechosa en uno de sus sistemas. Una investigación reveló que un desconocido había accedido a la cuenta de un empleado y la usó para descargar casi 300.000 informes de accidentes, que contenían nombres, direcciones, detalles de pólizas de seguro, números de licencia de conducir y datos de vehículos.

El 6 de junio, la agencia reconoció la invasión, confirmó que había bloqueado la cuenta comprometida y advirtió a los afectados. También comenzó a implementar medidas de seguridad adicionales para prevenir incidentes similares en el futuro. Aunque el departamento no ha divulgado exactamente cómo el atacante obtuvo acceso, está claro que una sola vulnerabilidad puede poner en riesgo a toda la organización y a sus clientes. Además, los datos personales robados no se protegen simplemente cambiando contraseñas – una vez filtrados, esa información permanece en riesgo.

¿Probaste reiniciar?

Qué ocurrió: Ciberdelincuentes robaron datos de 20 empresas bajo la fachada de un servicio de soporte.

Cómo ocurrió: El 5 de junio, investigadores de Google publicaron un informe sobre los métodos del grupo hacker UNC6040. Según The Register, los criminales lograron obtener datos de aproximadamente 20 organizaciones transnacionales grandes, incluyendo Coca-Cola European Pacific Partners.

El modus operandi de UNC6040 involucra técnicas de phishing por voz y ingeniería social, donde los estafadores llaman a especialistas en TI y se hacen pasar por personal de soporte de un proveedor estadounidense de CRM, Salesforce. Bajo diferentes pretextos, intentan obtener credenciales y un código especial desde la página de configuración de Salesforce. Este código permite a los atacantes conectarse con Data Loader, una aplicación usada para importar, exportar y actualizar datos en Salesforce, que luego explotan para robar información.

Los ciberdelincuentes aprovechan las credenciales robadas para ampliar su ataque, accediendo a otras plataformas en la nube como Okta y Microsoft 365. La investigación de Google busca alertar a los usuarios de Salesforce sobre estas amenazas, fomentando la vigilancia. Sin embargo, la realidad muestra que pocas divulgaciones de alto nivel logran disuadir a los estafadores por mucho tiempo; siempre habrá individuos, ya sean comunes o no, que caigan en estas trampas. Por eso, es fundamental educar continuamente a los equipos de trabajo sobre amenazas emergentes y reforzar las políticas de seguridad de la información mediante entrenamiento constante, tanto en teoría como en práctica, para mitigar estos riesgos.

Al río dos veces

Qué ocurrió: Empleados instalaron una puerta trasera en la red de la empresa y trataron de extorsionarla en dos ocasiones.

Cómo ocurrió: En 2023, Lucky Erasmus y Felix Pupu, empleados de la fintech sudafricana Ecentric, instalaron software de acceso remoto en los sistemas de de la empresa donde trabajaban.

Esto les permitió robar documentos corporativos y exigir un rescate de US$ 534.000 para evitar que los datos fueran entregados a la competencia y a las autoridades reguladoras. La empresa se negó a pagar. Insatisfechos, Erasmus y Pupu intentaron nuevamente, subiendo su demanda a US$ 1 millón. Pero sus acciones les jugaron en contra, y en lugar de pagar, fueron arrestados.

El juicio de los insiders finalizó recientemente, revelando que el robo de datos también afectó a los clientes de Ecentric, con cuatro perdiendo casi US$ 800.000. Esto empeoró aún más su situación, y Erasmus fue condenado a ocho años de prisión, mientras Pupu aún espera su sentencia.

Telenovela

Qué ocurrió: Una contadora robó US$ 800.000 de una iglesia y tres organizaciones más mediante ataques BEC.

Cómo ocurrió: Margo Williams, de 63 años, contadora y profesora de negocios a tiempo parcial, robó y lavó casi US$ 800.000. Fue condenada a cuatro años de prisión en 2024, y recientemente salieron a la luz detalles del caso.

Su objetivo fueron empresas que estaban pagando facturas, enviando correos que parecían ser de contactos confiables, instruyendo a los destinatarios a cambiar los datos bancarios. Cuatro empresas cayeron en la estafa entre diciembre de 2022 y julio de 2023, entre ellas la Iglesia de Cedar Rapids, que transfirió más de US$ 466.000 tras recibir un email fraudulento supuestamente de su arquitecto de proyectos.

El proceso judicial tomó un giro inesperado cuando Williams afirmó que actuaba bajo la influencia de un famoso actor británico con quien mantenía una relación romántica, lo que generó dudas sobre si ella también fue víctima de estafadores que la usaron para lavar dinero. Esto dejó abierta la posibilidad de que no haya sido directamente acusada de hacking, y que tal vez empleó crackers contratados o fue manipulada para sus acciones.

Quienes buscan, encuentran siempre

Qué ocurrió: Investigadores en seguridad descubrieron dos conjuntos de datos enormes en dominio público.

Cómo ocurrió: El 3 de junio, Cybernews y el investigador de seguridad Bob Diachenko anunciaron el hallazgo de una base de datos sin protección de 631 GB, con aproximadamente 4 mil millones de registros de información de ciudadanos chinos, incluyendo nombres, direcciones, teléfonos, datos financieros y detalles de WeChat y Alipay. La base de datos estaba almacenada en línea sin medidas de seguridad y fue eliminada de la red antes de que los expertos pudieran examinarla o identificar a sus propietarios.

Sin embargo, Cybernews logró acceder a dieciséis conjuntos de datos; por ejemplo, el set wechatid_db contenía más de 800 millones de registros relacionados con usuarios de WeChat, y el address_db incluía más de 750 millones de entradas de direcciones de residentes chinos.
El segundo filtrado se hizo público el 18 de junio. Los especialistas de Cybernews reportaron haber encontrado 30 conjuntos de datos sin protección, con un total de 16 mil millones de registros. Tenían una estructura clara: URL, login, contraseña.

El 18 de junio, estos especialistas informaron sobre el descubrimiento de 30 conjuntos de datos sin protección, que contenían 16 mil millones de registros, incluyendo URLs, logins y contraseñas, lo cual fue ampliamente difundido como la mayor filtración del mundo.

Luego, se aclaró que la mayoría de los datos consistían en registros de ladrones de informaciones y filtraciones antiguas, dificultando evaluar la verdadera magnitud de la amenaza, aunque potencialmente incluían credenciales de cuentas importantes como Apple, Google, Twitch y GitHub. La filtración probablemente fue causada por ciberdelincuentes o negligencia, y se requiere un análisis más profundo para determinar cuántos registros son duplicados y qué cuentas fueron afectadas.

Caos en papel

Qué ocurrió: Crackers llevaron a la bancarrota a Fasana, un fabricante de servilletas con más de un siglo de historia, en solo unas semanas.

Cómo ocurrió: El 19 de mayo, el día laboral de 240 empleados en la fábrica de Fasana empezó no con café, sino con un mensaje de desconocidos. De repente, todas las impresoras de la fábrica imprimieron el mismo documento: una demanda de rescate. El mensaje revelaba que la compañía había sido víctima de un ataque de ransomware.

Uno de los empleados contó a los periodistas que el ciberataque paralizó la infraestructura de TI de Fasana: computadoras, laptops y servidores dejaron de funcionar, causando una interrupción en la producción. Al día siguiente del ataque, la empresa no pudo cumplir pedidos por más de €250.000.

La dirección de Fasana contrató especialistas externos en TI para restaurar los sistemas afectados, pero tras dos semanas, las pérdidas superaron los €2 millones y solo lograron restaurar parcialmente las operaciones. La empresa siguió teniendo dificultades para cumplir con los pedidos y tuvo que retrasar pagos a empleados.

El 1 de junio, Fasana se declaró en bancarrota y anunció que buscaba un nuevo comprador para la empresa. Curiosamente, solo unos meses antes, el 25 de marzo, la compañía había sido adquirida por Powerparc AG, pero la nueva matriz no pudo ofrecer protección ni apoyo financiero a la filial dañada.

Un sistema SIEM es una herramienta esencial para proteger la red corporativa contra amenazas como crackers que causan bancarrotas, empleados que instalan puertas traseras y empleados que por error transmiten datos a estafadores. Funciona en tiempo real, monitorea y analiza eventos de seguridad en toda tu infraestructura, alertando inmediatamente a los especialistas ante posibles brechas o actividades sospechosas, permitiendo respuestas rápidas y reduciendo el riesgo de daños significativos.

¡Podés probar estas funcionalidades y protegerte de filtraciones causadas por empleados y hackers gratis durante 30 días!

¡PRUÉBALO GRATIS!

 

Suscríbase para recibir las novedades y conocer las tendencias del sector. Recibirá consejos sobre como afrontar las fugas de los datos y a los ciberdelincuentes.
© 2025 SearchInform LTD
Todos los derechos reservados.
Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario y para mejorar el rendimiento. Si continúa navegando, está dando su consentimiento para la aceptación de nuestra política de cookies, siga el enlace para mayor información.
OK
POLÍTICA DE COOKIES