Ataque phishing de UNC6783 afecta a helpdesks corporativos

En el panorama de ciberamenazas de 2026, la confianza humana sigue siendo el eslabón más débil, una vulnerabilidad que actores sofisticados están explotando con una precisión quirúrgica. Recientemente, el Google Threat Intelligence Group (GTIG) ha identificado un grupo de amenazas altamente activo y motivado financieramente, designado como UNC6783. Este colectivo, con posibles vínculos con la persona conocida como “Mr. Raccoon”, ha orquestado una campaña de extorsión meticulosa centrada en la ingeniería social a través de chats en vivo, demostrando una evolución preocupante en las tácticas de acceso inicial.

El Auge de UNC6783: Un Nuevo Nivel de Ingeniería Social

A diferencia de las campañas de phishing por correo electrónico masivo que han dominado la última década, UNC6783 opera con un enfoque cualitativo. Su objetivo principal son los Business Process Outsourcers (BPOs) y los departamentos de helpdesk corporativos. Al comprometer a estas entidades, que a menudo poseen acceso privilegiado o técnico a los sistemas de grandes corporaciones, los atacantes logran infiltrarse en organizaciones de alto valor con una facilidad pasmosa.

La táctica distintiva de este grupo es la utilización de chat en vivo para establecer una comunicación directa y persuasiva con los empleados. Al interactuar en tiempo real, los atacantes pueden construir una relación de confianza o aprovechar la urgencia de una solicitud de soporte para engañar a su víctima. Este ataque phishing personalizado no solo es más convincente, sino que permite a los actores de amenazas adaptar su narrativa según la reacción del empleado, superando los bloqueos automáticos tradicionales que suelen filtrar correos electrónicos maliciosos.

Anatomía de un Ataque de Phishing Avanzado

Una vez establecida la comunicación, el flujo del ataque sigue una secuencia técnica diseñada para subvertir las medidas de seguridad modernas, incluida la autenticación multifactor (MFA). Los pasos críticos incluyen:

• Spoofing de Identidad: Los atacantes dirigen a los empleados a páginas de inicio de sesión de Okta falsificadas. Estas páginas no son simples copias estáticas; utilizan patrones de dominio engañosos, como [org].zendesk-support[##].com, diseñados para evadir la inspección superficial y parecer parte de la infraestructura legítima de la empresa.
• Robo de Portapapeles (Clipboard Stealing): Este es el componente técnico más crítico del kit de phishing de UNC6783. Al interactuar con la página falsa, un script malicioso captura el contenido del portapapeles del dispositivo de la víctima. Dado que muchos usuarios copian y pegan sus códigos de MFA o tokens temporales, el kit extrae esta información en tiempo real.
• Bypass de MFA: Al obtener el token válido antes de que caduque, el atacante puede completar el proceso de autenticación sin necesidad de realizar ataques de Adversary-in-the-Middle (AiTM) complejos en cada instancia. Con la sesión autenticada, proceden a inscribir sus propios dispositivos en el sistema, asegurando un acceso persistente que sobrevive a cambios de contraseña.
• Distribución de Malware: En paralelo a los ataques de credenciales, se ha observado al grupo distribuir falsas “actualizaciones de software de seguridad” durante las sesiones de chat. Estas descargas ejecutan troyanos de acceso remoto (RAT), permitiendo a los atacantes un control total sobre las máquinas de las víctimas.

La Conexión con “Mr. Raccoon” y el Objetivo de Extorsión

El nombre de este clúster está intrínsecamente ligado a la figura de “Mr. Raccoon”, un actor de amenazas que ha ganado notoriedad por reclamar ataques de alto perfil, incluido un incidente significativo que afectó a la infraestructura de soporte de Adobe a través de un BPO en la India. La metodología de UNC6783 refleja la de un grupo que busca monetizar la información exfiltrada mediante la extorsión.

El valor de la información extraída es inmenso. Al acceder a los sistemas de tickets de helpdesk, los atacantes obtienen:

1. Millones de tickets de soporte técnico que contienen correspondencia interna.
2. Información personal (PII) de empleados y clientes.
3. Reportes de vulnerabilidades y documentos internos de estrategia de ciberseguridad (incluyendo envíos a plataformas como HackerOne).

Tras la exfiltración, los atacantes utilizan cuentas de Proton Mail para contactar a las organizaciones víctimas, exigiendo pagos de rescate bajo la amenaza de liberar datos sensibles o exponer fallos de seguridad críticos ante el público o competidores. Este modelo de negocio criminal, que combina el acceso técnico con la presión psicológica de la extorsión pública, coloca a UNC6783 en la vanguardia de los actores de amenazas más peligrosos del 2026.

Estrategias de Defensa y Mitigación

Ante una amenaza tan dinámica, las defensas estáticas son insuficientes. Las recomendaciones de ciberseguridad, respaldadas por análisis técnicos de grupos como Mandiant y GTIG, sugieren un endurecimiento radical de los procesos de soporte y ayuda.

Medidas de Seguridad Críticas para Organizaciones

• Implementación de MFA Resistente al Phishing: Es imperativo alejarse de los códigos SMS o tokens basados en tiempo (TOTP) para usuarios con privilegios altos. El despliegue de llaves de seguridad físicas FIDO2, como las llaves Titan, es la única defensa robusta contra el robo de credenciales y el bypass de MFA.
• Monitoreo de Canales de Chat: Las empresas deben implementar herramientas que analicen el tráfico en vivo de sus chats de soporte, buscando patrones de URLs sospechosas o dominios registrados recientemente que intenten emular la marca de la compañía.
• Restricción de Ejecución Binaria: Se debe endurecer la política de endpoints para evitar la descarga e instalación de software no autorizado durante las sesiones de soporte técnico. El uso de políticas de Control de Aplicaciones es fundamental.
• Auditorías Proactivas de Dispositivos MFA: Los equipos de seguridad deben auditar regularmente las listas de dispositivos inscritos en los sistemas SSO (como Okta) y activar alertas inmediatas ante la adición de nuevos dispositivos, especialmente si se originan desde ubicaciones geográficas anómalas.

Conclusión: La Vigilancia como Estándar Operativo

La campaña de UNC6783 no es solo un incidente de seguridad; es un recordatorio de que los atacantes están explotando la confianza inherente en los flujos de trabajo de soporte técnico. Mientras las empresas se apresuran a digitalizar sus procesos de atención al cliente, han dejado puertas traseras abiertas para quienes saben cómo manipular la psicología humana y las debilidades del navegador.

Para los equipos de CISO, la lección es clara: la seguridad no puede ser una barrera invisible, sino un componente activo del proceso de soporte. La transición hacia llaves FIDO2 y la monitorización constante de las interacciones en vivo ya no son opcionales; son los requisitos básicos para sobrevivir en un ecosistema donde actores como “Mr. Raccoon” ven en el helpdesk de su empresa no un centro de servicio, sino la puerta de entrada principal a sus activos más valiosos.