Campañas de ingeniería social dirigidas a mesas de ayuda atacan aplicaciones de RR. HH.

Resumen ejecutivo

Okta Threat Intelligence ha rastreado activamente un grupo de actividad con motivación financiera conocido como O-UNC-034 desde agosto de 2025 que aprovecha la ingeniería social del personal de la mesa de ayuda para tomar el control de las cuentas y manipular los datos en los sistemas de nómina. 

Se ha observado que O-UNC-034 se dirige a empleados de Organizations que operan en diferentes industrias, incluyendo, entre otras, educación, manufactura e industriales, Venta minorista y servicios al consumidor, y productos farmacéuticos y salud. Es uno de varios grupos de actividad rastreados por Okta Threat Intelligence y otros investigadores de amenazas que se dirigen a aplicaciones de RR. HH. y nómina. Las variaciones sobre este tema incluyen el uso de *malvertising* (O-TA-54) y *phishing* AitM (STORM-2657). 

El objetivo principal de O-UNC-034 es manipular los datos bancarios asociados con los usuarios objetivo en los sistemas de recursos humanos y los servicios relacionados con la nómina.

Este aviso detalla las tácticas, técnicas y procedimientos (TTP) observados y proporciona indicadores de compromiso (IOC) relevantes asociados con esta amenaza activa. 

Esta información se proporciona con fines informativos y de inteligencia para permitir que las organizaciones comprendan y mitiguen los riesgos que plantea esta campaña.

Análisis de Amenazas

El actor de amenazas está aprovechando técnicas de ingeniería social al hacerse pasar por empleados legítimos.

Para el Acceso Inicial, se ha observado que el actor de amenazas inicia contacto con la mesa de ayuda de TI de la empresa objetivo, haciéndose pasar por un empleado. Utilizan esta suplantación para solicitar el restablecimiento de la contraseña de la cuenta del empleado.

Tras un evento exitoso de restablecimiento de contraseña, el actor de amenazas establece la persistencia al inscribir su propio autenticador de MFA en la cuenta comprometida. Se ha observado que el actor de amenazas se inscribe en Okta Verify, autenticación de llamadas de voz, SMS o manipula preguntas de seguridad, lo que le permite eludir la autenticación multifactor (MFA) u otros controles de seguridad.

Después de una vulneración de cuenta exitosa, el actor se dirige a aplicaciones internas, apuntando específicamente a:

• Aplicaciones de nómina como Workday, Dayforce HCM y ADPsuite. El acceso a estos sistemas se utiliza para manipular los datos bancarios de la cuenta comprometida. 

• Customer Relationship Management (CRM) e IT Service Management (ITSM) como Salesforce y ServiceNow. El acceso a estas plataformas podría llevar al robo de datos de clientes propietarios, propiedad intelectual o la manipulación de los procesos de soporte de TI.

• Suites de Colaboración y Productividad: Office 365 y Google Workspace. El acceso a estos entornos proporciona una gran cantidad de información, incluyendo comunicaciones internas, documentos y credenciales, lo que facilita ataques adicionales.

Se ha observado que el actor de amenazas intenta autenticarse, y lo logra, desde una combinación de servicios de anonimización y direcciones IP residenciales, como:

• IPVANISH VPN

• CYBERGHOST VPN

• ZENMATE VPN

• EXPRESS VPN

• WINDSCRIBE VPN

• STRONG VPN

• ZENLAYER

• Direcciones IP geolocalizadas en Nigeria

Varios sistemas operativos también están asociados con esta actividad, incluidos, entre otros:

• Mac OS 14.5.0 (Sonoma)

• Mac OS 15.5.0 (Sequoia)

• Mac OS 13.1.0 (Ventura)

• Windows 11

• iOS (iPhone)

respuesta ante amenazas

Lo que estamos haciendo

Estamos activamente involucrados en las siguientes actividades para mitigar esta amenaza:

• Monitoreo continuo de la actividad del actor de amenazas.

• Proporcionar orientación y asistencia a las organizaciones para mejorar la seguridad de sus entornos Okta e investigar cualquier actividad sospechosa relacionada con cuentas potencialmente comprometidas.

Controles de protección

Recomendaciones

• Inscriba a los usuarios en autenticadores robustos como Okta FastPass, FIDO2 WebAuthn y tarjetas inteligentes, y aplique la resistencia al phishing en la política.

• Documente, divulgue y cumpla con un proceso estandarizado para validar la identidad de los usuarios remotos que se ponen en contacto con el personal de soporte de TI, y viceversa. Considere el uso de servicios de verificación de identidad cuando los usuarios estén bloqueados fuera de las cuentas.

• Recomendamos crear roles de administrador personalizados para los profesionales de la mesa de servicio de primera línea. Esta función personalizada no debe tener los permisos necesarios para modificar los factores (restablecer contraseñas de usuario, establecer contraseñas temporales o restablecer o inscribir factores). En cambio, a estos profesionales de la mesa de servicio se les debe otorgar en su función personalizada el permiso para emitir Códigos de acceso temporal después de que la persona que llama a la mesa de ayuda haya verificado correctamente su identidad. A diferencia de un token de restablecimiento de contraseña, un código de acceso temporal puede estar limitado por tiempo (sujeto a vencimiento), asignarse a grupos específicos de usuarios (NB: excluir a los administradores y otros objetivos de alto valor), encadenarse a otros autenticadores y estar sujeto a políticas de inicio de sesión de la aplicación que restrinjan su uso por dispositivo o ubicación.

• Las políticas de autenticación de Okta también se pueden utilizar para restringir el acceso a las cuentas de usuario en función de una variedad de requisitos previos configurables por el cliente. Recomendamos que los administradores restrinjan el acceso a aplicaciones confidenciales a dispositivos que son administrados por herramientas de administración de extremo y protegidos por herramientas de seguridad de extremo. Para el acceso a aplicaciones menos sensibles, exija dispositivos registrados (utilizando Okta FastPass) que exhiban indicadores de higiene básica. 

• Denegar o requerir mayor seguridad para las solicitudes de redes poco utilizadas. Con Okta Network Zones, el acceso puede ser controlado por ubicación, ASN (Número de Sistema Autónomo), IP y Tipo de IP (que puede identificar proxies de anonimización conocidos).

• Las evaluaciones de Okta Behavior y Risk se pueden utilizar para identificar solicitudes de acceso a aplicaciones que se desvían de los patrones de actividad del usuario establecidos previamente. Las políticas se pueden configurar para actualizar a nivel superior o denegar las solicitudes utilizando este contexto.

• Capacite a los usuarios para que identifiquen indicadores de correos electrónicos sospechosos, sitios de phishing y técnicas comunes de ingeniería social utilizadas por los atacantes. Facilite a los usuarios la notificación de posibles problemas mediante la configuración de Notificaciones para el usuario final y elaboración de informes de Actividad Sospechosa.

• Adopte un enfoque de "Privilegios Cero Permanentes" para el acceso administrativo. Asigne a los administradores Roles de Administrador Personalizados con los mínimos permisos necesarios para las tareas diarias, y requiera autorización dual para el acceso JIT (justo a tiempo) a roles más privilegiados. 

• Aplique el enlace de sesión IP a todas las aplicaciones administrativas para evitar la reproducción de sesiones administrativas robadas.

• Habilite las Acciones Protegidas para forzar la reautenticación cada vez que un usuario administrativo intente realizar acciones confidenciales.

Indicadores de Compromiso

Los contactos de seguridad de los clientes de Okta pueden iniciar sesión y descargar los Indicadores de Compromiso desde security.okta.com en el siguiente enlace:

https://security.okta.com/product/okta/help-desks-targeted-in-social-engineering-campaign-targeting-hr-applications