Ataques a los Help Desk ¿qué puedes hacer al respecto?

Specops Software,
¿Qué es un Brand Discovery ?
Linkedin

Los operadores de los servicios de asistencia (Help Desk) están para ayudar, y, por supuesto, todos preferimos hablar con una persona comprensiva que con un chatbot cuando nos encontramos con un problema informático. Por desgracia, es precisamente este factor humano del que los ciberdelincuentes se aprovechan al atacar a estos centros. Mediante ingeniería social, persuaden a los operadores telefónicos para que divulguen credenciales, restablezcan contraseñas o autoricen el acceso por la puerta trasera.

Aquí te explicamos cómo lo hacen y te ofrecemos consejos para reforzar este eslabón débil de la cadena de seguridad; eso sí, sin perder la calidad humana.

Ataques recientes a Servicios de Asistencia Técnico

La seguridad de estos centros ha sido noticia debido a que varios grandes comercios británicos han sufrido ataques recientes mediante el ransomware DragonForce. En estos casos, el acceso inicial se logró mediante el empleo de ingeniería social en el servicio de atención telefónica, presuntamente por parte de Scattered Spider, grupo de ciberdelincuencia con sede en EE. UU. y el Reino Unido.

  • Marks & Spencer (abril-mayo de 2025): Los atacantes engañaron al servicio de asistencia informática de M&S para que restableciera una serie de contraseñas, con lo que lograron acceder a los sistemas y hacerse con información personal de los clientes. La brecha de seguridad dejó inhabilitados los servicios de pedidos en línea y de recogida en tienda durante más de tres semanas.
  • Co-Op Group (mayo de 2025): Siguiendo una estrategia prácticamente idéntica, los atacantes persuadieron al personal del servicio de asistencia de Co-Op para que les concediera acceso a nivel de sistema, lo que resultó en el robo de datos de contacto de clientes, credenciales del personal y falta de existencias en sus 2.300 tiendas.
  • Harrods (mayo de 2025): La cadena de almacenes de lujo fue la tercera marca del Reino Unido en sufrir un ataque cibernético en menos de dos semanas. Harrods detectó y contuvo los intentos de acceso no autorizado (que también se creen relacionados con Scattered Spider) antes de que se pusieran en peligro los datos.
  • MGM Resorts (septiembre de 2023): En 2023, Scattered Spider realizó una llamada de vishing al servicio de asistencia informática de MGM Resort. Así, consiguieron que el personal desactivara la autenticación de dos factores (2FA) de un alto cargo e iniciaron una campaña de ransomware que paralizó las redes, los cajeros automáticos, las máquinas tragaperras y los sistemas de claves digitales de sus casinos de Las Vegas.

¿Por qué los hackers atacan los servicios de asistencia telefónica?

Resumiendo: es más rápido y sencillo manipular a una persona que llevar a cabo una intrusión más técnica. Los equipos de los centros de atención están formados para resolver problemas con celeridad a fin de que los empleados puedan reanudar el trabajo. Los atacantes se hacen pasar por proveedores de confianza o ejecutivos alarmados y tratan de sacar partido a ciertas convenciones sociales como la amabilidad, la deferencia a la autoridad y la aversión al conflicto. Utilizan la empatía, la urgencia y la confianza como armas para engañar al personal y lograr que se apresure o se salte procesos. Una vez que tienen un pie dentro, pueden avanzar hacia la escalada de privilegios o la implementación de ransomware.

¿Cómo funcionan los ataques de ingeniería social?

  1. Investigación: Algunos atacantes van indiscriminadamente a por los servicios de asistencia, mientras que otros pasan horas y horas examinando fuentes públicas para extraer algo que les pueda ser de provecho (perfiles de LinkedIn, comunicados de prensa, organigramas y redes sociales).
  2. Elaboración de la excusa: Armado con información veraz (por ejemplo, ubicación de las oficinas, iniciativas recientes de la empresa), el atacante se inventa una situación: su dispositivo se ha quedado bloqueado y necesita restablecer la contraseña o la autenticación multifactor (MFA).
  3. La llamada: La llamada tiene lugar, quizás en un horario deliberadamente ajetreado. Se sabe que Scattered Spider ha tenido éxito con empresas del Reino Unido y EE. UU. gracias a que son hablantes nativos de inglés. Algunos hackers incluso recurren al vishing con IA, con el que pueden suplantar la voz de una persona real dentro de una organización.
  4. Generación de urgencia y confianza: Aquí es cuando el atacante intenta ejercer presión sobre el operador telefónico. Por ejemplo, podría mencionar a un cliente importante o a un alto ejecutivo de la empresa, o citar un proyecto del que el operador esté al corriente para generar confianza. Expondrá una razón crítica para la empresa, en este caso falsa, por la cual necesita el acceso inmediato.
  5. Elusión de la MFA: Cuando el operador solicita la confirmación push de la MFA, el atacante alega no haberla recibido. O bien puede poner la excusa de que el teléfono se le ha perdido o se ha roto. Entonces, solicita que se restablezca la MFA, esgrimiendo que tiene la aprobación algún superior y mencionando la política de la empresa para el acceso de emergencia. El operador, deseoso de ayudar y temiendo un retraso en el trabajo ejecutivo, accede.
  6. Restablecimiento de credenciales e intercambio de tokens: El operador del servicio de asistencia sigue el procedimiento, desactiva el dispositivo de MFA existente y configura uno temporal. El atacante recibe inmediatamente la nueva notificación push, la aprueba en tiempo real y confirma el inicio de sesión.
  7. Cabeza de puente inicial: Con las credenciales válidas y una sesión activa, el atacante ahora tiene vía libre al entorno de la organización.

No implementar un proceso de verificación: una invitación a los ataques

La formación y las simulaciones de phishing pueden ayudar al equipo a mantenerse alerta y detectar todo aquello que se desvíe de los procedimientos. También puede implementarse el privilegio mínimo al restringir lo que los operadores pueden hacer por defecto (por ejemplo, exigir la aprobación del superior para acciones de alto riesgo, segmentar los sistemas de tickets de los depósitos de datos identificativos principales y registrar cada paso). Pero, para prestar el mayor apoyo a tus operadores en cada interacción, lo mejor es ofrecerles las herramientas para llevar a cabo la verificación.

Sin una verificación de identidad rigurosa, el servicio de asistencia se convierte en una puerta abierta para que los atacantes se aprovechen de la confianza humana. Exigir un proceso de verificación introduce una importante capa de fricción que frustra incluso los pretextos más convincentes. Specops Secure Service Desk integra verificación multifactor, puntuación de riesgo en tiempo real y flujos de desafío personalizables para que tu equipo pueda aplicar el proceso de verificación de identidad con confianza y pararle los pies a la ingeniería social.

Al integrar estas verificaciones en cada restablecimiento de contraseña, escalada de privilegios o solicitud de sesión remota, estarás reduciendo drásticamente la superficie de ataque humano. ¿Quieres ver cómo podría integrarse Secure Service Desk en tu entorno? Reserva una demostración en directo.