En segundo lugar<\/strong>, los ataques de alto contacto est\u00e1n aumentando. Los actores de amenazas como Muddled Libra eluden la autenticaci\u00f3n multifactor (MFA) y aprovechan los procesos de asistencia de TI para escalar privilegios en cuesti\u00f3n de minutos, por lo general sin necesidad de utilizar malware. En un caso, un actor de amenazas pas\u00f3 de tener acceso a administrador de dominio en menos de 40\u00a0minutos solo con herramientas integradas y pretextos sociales.<\/p>\n En tercer lugar<\/strong>, la baja cobertura de detecci\u00f3n y la fatiga por alertas siguen siendo factores clave. En muchos casos, los ataques de ingenier\u00eda social tuvieron \u00e9xito no gracias a t\u00e9cnicas avanzadas, sino porque las organizaciones pasaron por alto o clasificaron err\u00f3neamente se\u00f1ales cr\u00edticas. Esto era un problema particular para los flujos de trabajo de recuperaci\u00f3n de identidad y las rutas de movimiento lateral.<\/p>\n En cuarto lugar,<\/strong> las interrupciones en la actividad empresarial derivadas de estos ataques siguen aumentando. M\u00e1s de la mitad de los incidentes de ingenier\u00eda social dieron lugar a la exposici\u00f3n de datos confidenciales, mientras que otros incidentes interrumpieron servicios cr\u00edticos o afectaron al rendimiento general de la organizaci\u00f3n. Estos ataques de alta velocidad est\u00e1n dise\u00f1ados para generar altos rendimientos financieros con una infraestructura y un riesgo m\u00ednimos.<\/p>\n En quinto lugar<\/strong>, la inteligencia artificial (IA) est\u00e1 acelerando tanto la escala como el realismo de las campa\u00f1as de ingenier\u00eda social. Los actores de amenazas ahora est\u00e1n utilizando IA generativa para crear se\u00f1uelos personalizados, clonar voces de ejecutivos en estafas de devoluci\u00f3n de llamadas y mantener la interacci\u00f3n en directo durante campa\u00f1as de suplantaci\u00f3n de identidad.<\/p>\n Detr\u00e1s de estas tendencias se esconden tres factores sist\u00e9micos: acceso excesivo, lagunas en la visibilidad del comportamiento <\/strong>y confianza no verificada de los usuarios en los procesos humanos.<\/strong> Los sistemas de identidad, los protocolos de asistencia y las aprobaciones por v\u00eda r\u00e1pida suelen ser objeto de explotaci\u00f3n por parte de los actores de amenazas que imitan las actividades rutinarias.<\/p>\n Para contrarrestar esto, los responsables de seguridad deben impulsar un cambio que vaya m\u00e1s all\u00e1 de la concienciaci\u00f3n tradicional de los usuarios y reconozca la ingenier\u00eda social como una amenaza sist\u00e9mica centrada en la identidad. Esta transici\u00f3n requiere lo siguiente:<\/p>\n La ingenier\u00eda social funciona no porque los atacantes sean sofisticados, sino porque la gente sigue confiando con demasiada facilidad, lo que compromete la seguridad de las organizaciones.<\/p>\n La ingenier\u00eda social sigue dominando el panorama de amenazas Lo que destaca este a\u00f1o es la rapidez con la que est\u00e1n evolucionando estos ataques. Unit\u00a042 tiene detectados dos modelos distintos, ambos dise\u00f1ados para eludir los controles imitando actividades de confianza:<\/p>\n Estos no son casos extremos. Son t\u00e9cnicas repetibles y eficaces que los adversarios perfeccionan semana tras semana. Una de las tendencias m\u00e1s reveladoras que hemos observado es el aumento de los vectores que no son de phishing. Esto incluye se\u00f1uelos basados en voz, alertas falsas del navegador y manipulaci\u00f3n directa de los equipos de asistencia. En muchos entornos, estas t\u00e1cticas permiten a los atacantes pasar desapercibidos, extraer datos y causar un da\u00f1o operativo significativo.<\/p>\n En este informe se recopila informaci\u00f3n de los investigadores de amenazas de Unit\u00a042, datos telem\u00e9tricos de intrusiones reales y conocimientos adquiridos en primera l\u00ednea de nuestra pr\u00e1ctica global de respuesta ante incidentes (IR). El objetivo de este informe es ayudarlo a comprender c\u00f3mo funciona realmente la ingenier\u00eda social en 2025 y qu\u00e9 se necesita para detenerla.<\/p>\n Hay algo que est\u00e1 claro. Los adversarios no solo hackean sistemas: hackean a las personas.<\/p>\n Una clase creciente de ataques se dirige a personas mediante manipulaciones personalizadas en tiempo real, con frecuencia en grandes empresas donde los sistemas de identidad y los flujos de trabajo humanos son m\u00e1s complejos. Estas organizaciones presentan un conjunto m\u00e1s amplio de puntos de acceso, desde plataformas de identidad federadas hasta operaciones de asistencia distribuidas. Los atacantes aprovechan para escalar el acceso de forma discreta. El tama\u00f1o y la complejidad de las empresas facilitan que las actividades maliciosas se mezclen con las solicitudes rutinarias, lo que aumenta el tiempo necesario para su detecci\u00f3n.<\/p>\n Las operaciones de alto contacto suelen estar motivadas por intereses econ\u00f3micos y las llevan a cabo actores de amenazas que invierten tiempo y recursos en investigar c\u00f3mo vulnerar las defensas de identidad sin activar las alertas. Se hacen pasar por empleados, se aprovechan de la confianza y pasan r\u00e1pidamente de tener acceso a nivel de usuario a tener control privilegiado. Hemos investigado varios casos de gran impacto en los que los atacantes eludieron la MFA y convencieron al personal del servicio de asistencia para que restableciera las credenciales. En un caso reciente, el atacante pas\u00f3 de obtener acceso inicial a conseguir derechos de administrador de dominio en cuesti\u00f3n de minutos, sin necesidad de implementar ning\u00fan tipo de malware.<\/p>\n Grupos como Muddled Libra<\/a>, una operaci\u00f3n cibern\u00e9tica global motivada por intereses econ\u00f3micos, son un ejemplo de este modelo. En lugar de hacer ataques de phishing a gran escala, estos atacantes identifican al personal clave, crean un perfil a partir de datos p\u00fablicos y se hacen pasar por ellos de forma convincente. Como resultado, estos grupos obtienen un acceso profundo, un amplio control del sistema y la capacidad de monetizar los ataques r\u00e1pidamente.<\/p>\n No todas las operaciones de alto contacto tienen como objetivo generar beneficios. Tambi\u00e9n hemos rastreado a actores de amenazas alineados con el Estado que utilizan t\u00e1cticas parecidas para el espionaje y la infiltraci\u00f3n estrat\u00e9gica. Las campa\u00f1as atribuidas a actores de amenazas alineados con el Estado, como Agent Serpens<\/a>, afiliado a Ir\u00e1n, y grupos de amenaza de Corea del Norte<\/a>, se han basado en identidades institucionales falsificadas, se\u00f1uelos personalizados y documentos falsificados para comprometer objetivos diplom\u00e1ticos y del sector p\u00fablico.<\/p>\n Entre los actores con motivaciones financieras, pocos han demostrado la persistencia, la adaptabilidad y la fluidez t\u00e9cnica de Muddled Libra.<\/p>\n Muddled Libra opera dentro de un grupo m\u00e1s amplio de actores. Estos actores de amenazas tienen motivaciones econ\u00f3micas y eluden los controles t\u00e9cnicos mediante la explotaci\u00f3n directa de los sistemas de identidad. Sin embargo, Muddled Libra destaca por su persistencia, rapidez y t\u00e9cnicas de espionaje dirigidas por humanos.<\/p>\n El grupo no solo se dedica a suplantar identidades para obtener credenciales. Se hace pasar por empleados en tiempo real, a veces enfoc\u00e1ndose en el personal de asistencia para restablecer la MFA, tomar control de identidades y acceder a sistemas internos. Una vez dentro, Muddled Libra aprovecha las herramientas de supervisi\u00f3n y gesti\u00f3n remotas (RMM) para mantener un acceso persistente y establecer el control.<\/p>\n La infraestructura de este grupo es ligera y evasiva. En cuanto al mando y control (C2), hemos observado un uso indebido repetido de los servicios de tunelizaci\u00f3n, lo que permite al grupo operar desde fuera del per\u00edmetro de la red sin levantar sospechas inmediatas.<\/p>\n Los reinicios de la MFA, el intercambio de m\u00f3dulos de identidad de suscriptor (SIM) y el uso indebido de se\u00f1ales de confianza orientadas al p\u00fablico son patrones recurrentes. En varios casos, los atacantes recopilaron datos personales detallados de fuentes como LinkedIn para crear perfiles convincentes, lo que aument\u00f3 sus posibilidades de eludir los pasos de verificaci\u00f3n de identidad.<\/p>\n\n
<\/a>Introducci\u00f3n<\/h2>\n
.<\/s> Durante el \u00faltimo a\u00f1o, m\u00e1s de un tercio de los casos de respuesta ante incidentes que nuestro equipo gestion\u00f3 comenzaron con una t\u00e1ctica de ingenier\u00eda social. Estas intrusiones no se basaron en vulnerabilidades de d\u00eda cero ni en malware sofisticado. Se aprovecharon de la confianza. Los atacantes eludieron los controles suplantando la identidad de los empleados, manipulando los flujos de trabajo y aprovechando las deficiencias en la forma en que las organizaciones gestionan la identidad y la interacci\u00f3n humana.<\/p>\n\n
<\/a>Compromiso de alto contacto y alto impacto<\/h2>\n
<\/a>C\u00f3mo vulneran la confianza los atacantes<\/strong><\/h3>\n
<\/a>Perfil n.\u00ba\u00a01: Muddled Libra<\/h4>\n
![\"Tabla](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/es-LA-table-2.png\")
<\/strong><\/p>\n![\"Gr\u00e1fico](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/es_LA_figure-1-324x440.png\")
<\/p>\n![\"Gr\u00e1fico](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/es-LA-figure-2-786x318.png\")
<\/p>\n![\"Gr\u00e1fico](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/es-LA-figure-3-786x302.png\")
<\/p>\n![\"Gr\u00e1fico](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/es-LA-figure-4-786x369.png\")
<\/p>\n![\"Gr\u00e1fico](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/08\/es-LA-figure-5-330x440.png\")
<\/strong><\/p>\n