UNC6783 Mr Raccoon: Nueva amenaza de ingeniería social en chats en vivo

En el panorama de amenazas cibernéticas que evoluciona rápidamente en 2026, ha surgido un nuevo y sofisticado adversario que está obligando a las empresas a replantearse la seguridad de sus puntos de contacto con clientes y socios externos. El grupo de amenazas UNC6783, también identificado por investigadores de inteligencia como “Mr. Raccoon”, ha marcado un hito en la ingeniería social al abandonar las tácticas tradicionales de phishing por correo electrónico en favor de una estrategia mucho más invasiva y difícil de detectar: el chat en vivo.

Este artículo desglosa la anatomía del ataque de UNC6783 Mr. Raccoon, un actor de amenazas financieramente motivado que ha convertido a los Proveedores de Servicios de Terceros y Business Process Outsourcing (BPO) en el eslabón más débil de la cadena de suministro corporativa.

La Evolución del Ataque: Del Correo Electrónico al “Live Chat”

Históricamente, la mayoría de los actores de amenazas dependían de campañas masivas de correo electrónico (phishing) o, más recientemente, de ataques de voz (vishing) para engañar a los empleados. Sin embargo, UNC6783 Mr. Raccoon ha perfeccionado un enfoque basado en la interacción en tiempo real. Al atacar a los centros de soporte técnico, mesas de ayuda y BPOs, estos actores logran infiltrarse en los entornos de trabajo cotidianos donde la urgencia y la ayuda son la norma.

El uso de plataformas como Zendesk para la interacción directa es una estrategia calculada. El atacante no solo envía un enlace malicioso; establece una relación, gana confianza y responde dinámicamente a las dudas de la víctima. Este nivel de personalización convierte al “Live Chat” en un vector de ataque altamente efectivo frente a sistemas de defensa que suelen priorizar la protección contra amenazas basadas en archivos o enlaces estáticos.

El Modus Operandi de UNC6783 Mr. Raccoon

La metodología operativa de este clúster sigue un patrón estructurado diseñado para evadir la seguridad tradicional:

• Reconocimiento y Selección: Identifican BPOs que prestan servicios de soporte o administración de TI a empresas de alto perfil.
• Interacción de Confianza: Los atacantes contactan a los agentes de soporte de BPO o helpdesks internos, simulando ser usuarios legítimos con problemas técnicos que requieren atención urgente.
• Ingeniería Social Dinámica: Utilizan herramientas de chat en vivo para manipular al agente. Si el agente duda, el atacante ajusta su narrativa en tiempo real, utilizando un tono profesional y urgente que suele desactivar el escepticismo del personal.
• Redirección Maliciosa: Una vez establecida la confianza, dirigen al empleado a una página de inicio de sesión de Okta cuidadosamente falsificada.

El Engaño Técnico: Spoofing y Robo de Sesiones

Un pilar fundamental de la campaña de UNC6783 Mr. Raccoon es la capacidad de neutralizar las defensas de autenticación. No se trata simplemente de robar credenciales de usuario; el objetivo es el bypass completo de la Autenticación de Múltiples Factores (MFA).

La Anatomía del Phishing de Okta

Las páginas de inicio de sesión falsificadas que utiliza UNC6783 no son copias burdas. Utilizan patrones de dominio altamente engañosos, como <org>[.]zendesk-support<##>[.]com, lo que dificulta que incluso un empleado entrenado note la anomalía. Estos portales están diseñados para imitar perfectamente la identidad visual y los flujos de autenticación de la organización objetivo.

Bypass de MFA mediante “Clipboard Stealing”

Quizás el aspecto más preocupante de esta amenaza es el uso de kits de phishing avanzados capaces de capturar el contenido del portapapeles del dispositivo de la víctima. Cuando el usuario intenta iniciar sesión, el kit actúa en segundo plano para interceptar:

1. Códigos de verificación MFA temporales copiados por el usuario.
2. Tokens de sesión activos que permiten al atacante secuestrar la sesión del navegador.
3. Información sensible que pueda ser utilizada para mover lateralmente dentro de la red tras el acceso inicial.

Al capturar estos datos, los atacantes logran registrar sus propios dispositivos dentro del entorno SSO (Single Sign-On) de la empresa, lo que les otorga persistencia a largo plazo, incluso si el usuario cambia su contraseña posteriormente.

Software de Seguridad Falso: Un Vector Secundario

Además de la ingeniería social mediante chat, UNC6783 Mr. Raccoon ha demostrado capacidad para desplegar malware. En escenarios donde la manipulación de credenciales no es suficiente o se requiere un acceso más profundo, el atacante distribuye falsas “actualizaciones de seguridad” o herramientas de software. Estas descargas, presentadas durante la sesión de soporte técnico, actúan como un Troyano de Acceso Remoto (RAT), proporcionando al atacante control total sobre el endpoint de la víctima.

El Objetivo Final: Extorsión Digital

A diferencia de los ataques que buscan la interrupción inmediata de servicios (como el ransomware tradicional), el objetivo principal de este actor es el robo silencioso de datos. Al comprometer los portales de tickets de Zendesk y otros sistemas de soporte, los atacantes acceden a:

• Registros de empleados y datos personales.
• Tickets de soporte que contienen comunicaciones internas, fallos de seguridad reportados y documentación técnica.
• Submission de programas de recompensas por errores (HackerOne, etc.), revelando vulnerabilidades aún no corregidas.

Tras la exfiltración masiva, el grupo contacta a las empresas afectadas a través de servicios de correo encriptado como ProtonMail, exigiendo pagos exorbitantes bajo la amenaza de publicar la información robada, una táctica de extorsión de doble filo que pone en riesgo tanto la reputación como la operatividad legal de las víctimas.

Estrategias de Defensa y Mitigación

Ante la amenaza persistente que representa UNC6783 Mr. Raccoon, las organizaciones deben adoptar una postura de “Zero Trust” (Confianza Cero) más rigurosa, especialmente en lo que respecta a sus proveedores externos.

Implementación de Autenticación Resistente al Phishing

La adopción de claves de seguridad FIDO2 (como las llaves de seguridad hardware) es la recomendación principal. A diferencia de las notificaciones push o los códigos SMS, las claves FIDO2 son inmunes a la mayoría de las técnicas de phishing, ya que requieren una presencia física y validación criptográfica que los kits de phishing actuales no pueden replicar.

Monitoreo y Auditoría de Canales de Chat

Es vital elevar la visibilidad sobre los canales de soporte. Esto incluye:

• Capacitación específica: Instruir a los equipos de soporte sobre la existencia de este tipo de ataques de “ingeniería social en vivo”.
• Análisis de comportamiento: Implementar soluciones que monitoreen las sesiones de chat en busca de patrones sospechosos, como la redirección a dominios externos no verificados.
• Auditoría constante: Revisar regularmente la lista de dispositivos registrados en las plataformas SSO y eliminar cualquier dispositivo desconocido o sospechoso.

Gestión de Riesgos en la Cadena de Suministro

Dado que UNC6783 utiliza a los BPOs como puerta de entrada, la seguridad de la cadena de suministro debe ser una prioridad estratégica. Las empresas deben exigir a sus proveedores externos el mismo nivel de seguridad, auditorías de acceso regulares y controles de identidad que aplican internamente.

La emergencia de UNC6783 Mr. Raccoon es un recordatorio contundente de que, en la era de la IA y la automatización, el factor humano sigue siendo el activo más crítico —y el más vulnerable—. La resiliencia no se logra solo con tecnología, sino con una combinación de herramientas resistentes al phishing y una cultura de desconfianza saludable hacia cualquier interacción digital inesperada, incluso cuando proviene de una plataforma de chat “segura”.