El pasado 24 de julio, la empresa Cisco, reconocida por su dedicación en la fabricación, venta, mantenimiento y consultoría de equipos de telecomunicaciones, detectó un incidente de seguridad interno. El evento inicio de inmediato una investigación, al haberse identificado un ataque de vishing que comprometió la seguridad de sistemas.

Según la información relevada de Cisco y sus colaboradores, el incidente se produjo cuando un actor de amenaza no identificado llevó a cabo un ataque dirigido utilizando técnicas avanzadas de ingeniería social. El atacante demostró un profundo conocimiento tanto de la empresa como de sus empleados, lo que evidencia una preparación y estudio previo al ataque. Mediante una llamada telefónica engañosa, y haciéndose pasar por un afiliado externo de confianza, el atacante utilizó una voz (que podría haber sido propia o generada sintéticamente, dato no especificado oficialmente por Cisco) para manipular y obtener la confianza del empleado.

Como resultado de este ataque, el actor de amenaza logró obtener acceso a una plataforma tecnológica basada en la nube, utilizada por Cisco que gestiona las interacciones de la empresa con sus clientes actuales y potenciales (CRM). El acceso indebido permitió al actor de amenaza visualizar y exportar una base de datos que contenía información sensible de los usuarios registrados en Cisco.com. Los datos comprometidos específicamente, según el informe oficial del viernes 1 de agosto, fueron nombres completos de los usuarios, nombre de las organizaciones a la que pertenecen dichos usuarios, dirección, ids de usuarios asignados en Cisco, direcciones de correo electrónicos, números de telefónicos, metadatos de las cuentas, como las fechas de creación y otros datos relevantes. Todos estos datos corresponden a perfiles básicos de las cuentas de personas que se registraron como usuarios en la plataforma de Cisco.

¿En qué consiste un ataque de vishing?

Es una práctica de ingeniería social que consiste en el uso de llamadas telefónicas para obtener información confidencial de las víctimas. En este tipo de ataques, los ciberdelincuentes emplean un lenguaje natural y persuasivo para hacerse pasar por entidades legítimas, como empresas, autoridades, CEOs o conocidos de la víctima, con el objetivo de ganarse su confianza.

Durante estas llamadas, el atacante manipula a la víctima psicológicamente con emociones como la urgencia, el miedo o el deseo. Se suelen elegir momentos en los que la persona se encuentra más vulnerable o distraída, incrementando así las probabilidades de éxito del ataque. El objetivo principal es inducir a la víctima a realizar acciones poco habituales, como compartir credenciales de acceso, transferir dinero o brindar información sensible.

Este tipo de ataques puede tener consecuencias graves para las organizaciones y las personas afectadas, ya que permite a los actores maliciosos acceder a sistemas restringidos, cometer fraudes financieros o suplantar identidades. Por este motivo, es fundamental conocer y estar atentos a este tipo de amenazas.

Recomendaciones generales brindada por CISA para no ser víctima de este tipo de ataques:

• Desconfiar de llamadas telefónicas, no solicitadas de personas que preguntan sobre empleados u otra información interna. Si un individuo desconocido afirma pertenecer a una organización legítima, intente verificar su identidad directamente con la empresa.
• No proporcionar información personal ni información sobre su organización, incluida su estructura o redes, a menos que esté seguro de la autoridad de una persona para tener la información.
• No revelar información personal o financiera por correo electrónico y no responder a solicitudes de esta información por correo electrónico. Esto incluye enlaces enviados por correo electrónico.
• Hacer cumplir la autenticación multifactor (MFA).

Reacción de Cisco frente al incidente

Cisco comunicó el incidente, se involucró y afirmó que “el actor no obtuvo ninguna información confidencial o de propiedad exclusiva de clientes de la organización’, ni contraseñas u otros tipos de información confidencial” también “no se identificó ningún impacto en los productos o servicios y ninguna otra instancia de Cisco CRM se vio afectada”, por último comentó que “se ha puesto en contacto con las autoridades de protección de datos y ha notificado a los usuarios afectados”.

Conclusión

Este incidente resalta la importancia de la formación continua en concienciación sobre amenazas y técnicas de ingeniería social para todos los empleados, así como la necesidad de implementar controles adicionales en los procesos de validación de identidad, especialmente en interacciones telefónicas ya que como se vio en este ataque, ninguna empresa por más relevante que sea en el sector, está a salvo de las vulnerabilidades en las personas.

Fuentes:

https://sec.cloudapps.cisco.com/security/center/resources/CRM-vishing

https://www.bleepingcomputer.com/news/security/cisco-discloses-data-breach-impacting-ciscocom-user-accounts/

https://www.cisa.gov/news-events/news/avoiding-social-engineering-and-phishing-attacks