Alerta conjunta de Google y el FBI
Los equipos de ciberseguridad de Google, Mandiant y el Google Threat Intelligence Group, junto con el FBI, han publicado un informe que expone la actividad del grupo criminal conocido como Silent Ransom Group. Este grupo ha intensificado sus operaciones contra despachos de abogados, combinando técnicas tradicionales de phishing con intrusiones físicas en las oficinas de sus víctimas.
Suplantación de técnicos en sitio
En varios casos, los atacantes se presentaron como empleados de soporte informático, ingresando a los edificios y conectándose directamente a los equipos mediante dispositivos USB o herramientas de acceso remoto. La estrategia permite robar documentos sensibles como contratos, números de seguro social, y registros financieros sin necesidad de instalar malware previamente.
Cómo operan los ciberdelincuentes
El grupo utiliza una combinación de ingeniería social, correos de phishing y llamadas telefónicas que simulan ser del departamento de TI. Tras ganar la confianza del objetivo, les indican que descarguen aplicaciones de uso compartido de pantalla o que conecten un pendrive proporcionado por los falsos técnicos. De esta forma, pueden extraer datos críticos o instalar puertas traseras para accesos posteriores.
Una vez obtenida la información, la organización la almacena en un sitio de filtración propio y amenaza con publicarla si la empresa no paga el rescate. A diferencia del ransomware tradicional, no siempre cifran los archivos; la presión se basa en la exposición pública de la información confidencial.
Escalada de la amenaza: del ciberespacio al mundo físico
Esta táctica representa una evolución significativa, ya que combina la sutileza del phishing con la audacia de una intrusión física. Los investigadores de Mandiant afirman haber presenciado casos similares en años anteriores, pero la frecuencia con la que Silent Ransom Group recurre a visitas personales está en aumento, lo que sugiere una adaptación a las barreras de seguridad perimetrales.
Recomendaciones para mitigar el riesgo
Las firmas legales deben reforzar sus protocolos de verificación de identidad, exigir credenciales oficiales y limitar el acceso a áreas críticas solo a personal autorizado. Además, es crucial entrenar a los empleados en la detección de correos sospechosos y en la importancia de no conectar dispositivos externos sin la inspección adecuada.
Implementar soluciones de gestión de accesos privilegiados (PAM) y monitorear el tráfico de red en tiempo real puede ayudar a identificar comportamientos anómalos antes de que se produzca una exfiltración. Finalmente, contar con planes de respuesta a incidentes que incluyan la coordinación con autoridades como el FBI reduce el impacto de una posible filtración.