Cuando el servicio de asistencia técnica es la amenaza

By danny bradbury • 28 de mayo de 2026 • 5 minutos de lectura

Los antiguos atacantes de ingeniería social nunca mueren; simplemente evolucionan y se vuelven más sofisticados. Esta es la historia de un grupo de atacantes lo suficientemente audaz como para comprometer infraestructuras a plena vista, y consejos sobre cómo afrontarlo.

A finales de mayo de 2024, Microsoft observó cómo un grupo de ciberdelincuentes con motivaciones económicas, al que rastrea como Storm-1811, hacía algo que los controles perimetrales tradicionales no estaban diseñados para detectar: iniciaba sesión en Teams, saludaba y pedía ayuda.

El equipo de inteligencia de amenazas del gigante de la nube y el software ya había... documentado Los mismos operadores abusaban de la herramienta de asistencia remota Quick Assist desde mediados de abril de ese año, pero el cambio a Teams les brindó una nueva puerta de entrada. Storm-1811, escribieron los analistas de Microsoft, "es un grupo de ciberdelincuentes con motivaciones financieras conocido por desplegar el ransomware BlackBasta", y los inquilinos que registraron para la operación tenían nombres de visualización tan genéricos que pasaban desapercibidos: 'Help Desk', 'Help Desk IT', 'Help Desk Support', 'IT Support'.

Desde entonces, el patrón ha continuado. El 4 de noviembre del año pasado, un usuario externo iniciado sesión en un entorno de cliente Bajo el nombre de usuario "Soporte de TI", utilizando la cuenta mostafa.s@dhic.edu.eg, en veintiocho minutos iniciaron una sesión de pantalla compartida de Asistencia Rápida contra una persona que creía estar hablando con sus compañeros.

Cinco meses después, en marzo de este año, BlueVoyant publicado El análisis forense de una campaña relacionada, que desplegaba una carga útil previamente no documentada llamada A0Backdoor, la consideró «una evolución de las tácticas, técnicas y procedimientos asociados con el grupo de ransomware BlackBasta, que se disolvió tras la filtración de los registros de chat internos de la operación». El grupo ha cambiado; la estrategia sigue siendo la misma.

Este es un problema continuo. Teams tiene un historial de cuatro años de permitir que los suplantadores de identidad dobleguen el modelo de confianza desde dentro. Check Point Research, en una divulgación que se extendió desde marzo de 2024 hasta que el parche final llegó a finales de octubre de 2025, documentado que los atacantes podrían sobrescribir silenciosamente los chats reutilizando un clientmessageid, suplantar a los remitentes de notificaciones, alterar los nombres de usuario en los chats privados y falsificar las identidades de las personas que llaman en las llamadas de audio y vídeo.

Herramientas legítimas en manos de delincuentes

La razón por la que esto funciona a gran escala es arquitectónica, no conductual. Casi todos los componentes están autorizados. Quick Assist viene preinstalado en Windows 11 y se activa mediante un código de seis dígitos; los instaladores MSI están firmados digitalmente y alojados en el almacenamiento en la nube personal de Microsoft; el archivo hostfxr.dll malicioso se carga en un proceso legítimo y descifra A0Backdoor solo una vez que reside en la memoria, donde la mayoría de las inspecciones de endpoints ya han finalizado su trabajo.

Incluso el mando y control se oculta a plena vista: en lugar de utilizar los túneles DNS basados en registros TXT que los centros de operaciones de seguridad más avanzados han aprendido a detectar, A0Backdoor codifica sus instrucciones en consultas DNS MX.

Es hora de una gobernanza coordinada.

Entonces, ¿cómo se ve la gobernanza cuando los atacantes utilizan tus propios flujos de trabajo en tu contra, aprovechando funciones que están activadas por defecto?

Un análisis más exhaustivo de estas funciones es el punto de partida, junto con la desactivación de aquellas que podrían estar configuradas por defecto. Los equipos de seguridad podrían denegar las invitaciones de chat B2B modificando la configuración predeterminada en Set-CsTeamsMessagingPolicy. Podrían establecer como base la Asistencia rápida para un flujo de trabajo de soporte conocido, tratando los eventos Teams ChatCreated como una señal de primera clase, junto con la telemetría de identidad y de los puntos finales.

Pero estas no son decisiones que deban tomarse de forma independiente. Estos ataques funcionan precisamente porque ningún responsable individual tiene suficiente información para actuar. El equipo de identidad no recibe ninguna señal en un evento ChatCreated que no procesa, mientras que el SOC no tiene ninguna regla para una consulta MX que nunca analizó. Un enfoque de gobernanza unificada implica una visión integral y unificada de los flujos de trabajo de la empresa que los utilizan.

Un sistema de gestión integrado (SGI) es el principio organizador de un flujo de trabajo de gobernanza integral. Según la norma ISO 27001, por ejemplo, los equipos de seguridad y gobernanza pueden revisar la política de chat externo conforme a las reglas de acceso A.5.15. Las organizaciones pueden optimizar el canal DNS MX al decidir monitorizar MX en lugar de solo TXT, según la norma A.8.16 (monitorización de actividades). Este enfoque integrado permite visualizar la telemetría de ChatCreated y MX en la misma pantalla del analista.

De igual modo, la función de compartir pantalla de Quick Assist pertenece a la ingeniería de escritorio según la sección A.8.2 (derechos de acceso privilegiado, incluidas las herramientas de escritorio remoto). La solicitud de autenticación multifactor que omite se incluye en la sección A.5.15 (IAM), mientras que las instalaciones MSI se pueden supervisar sistemáticamente según la sección A.8.19 (instalación de software).

Una comprensión integral de estos riesgos también facilita una mejor respuesta ante incidentes. Si ha incorporado este tipo de riesgo a su marco de control, es más sencillo tratar una vulneración de seguridad mediante software de colaboración como un escenario reconocido y elaborar un plan de acción para ello, según lo estipulado en la sección A.5.24 (Planificación y preparación para la gestión de incidentes).

La norma ISO 27001 es el marco lógico para este tipo de trabajo, ya que obliga a que la identidad, el acceso y la respuesta a incidentes se integren en un único sistema sometido a auditorías continuas, en lugar de en tres grupos de responsables de control independientes. Precisamente ahí radica la brecha que Storm-1811 y sus sucesores siguen atravesando.

Amplíe su conocimiento

Podcast: Phishing para causar problemas, episodio n.° 8: Software más seguro, negocio más seguro.

Blog: ¿Cómo pueden los equipos de seguridad prepararse para un futuro posterior al Mythos?

Blog: Cómo la IA agente está creando una nueva clase de riesgo para los equipos de ciberseguridad

Cuando el servicio de asistencia técnica es la amenaza

Herramientas legítimas en manos de delincuentes

Es hora de una gobernanza coordinada.

Amplíe su conocimiento

danny bradbury

Artículos relacionados

Ciberdelincuencia vs. Geopolítica: Cómo el ransomware se está convirtiendo en una herramienta geopolítica

Los trabajadores informáticos norcoreanos están apuntando al Reino Unido: ¿Qué debería hacer?

La brecha de gobernanza: por qué la Ley de IA de la UE marca el momento en que los consejos de administración ya no pueden considerar el cumplimiento normativo como un problema ajeno.

Más artículos de Danny Bradbury

Qué implica el Marco de Política Nacional de IA de la Casa Blanca para el cumplimiento normativo.

La retirada de los acuerdos cibernéticos de EE. UU. indica un riesgo corporativo

Por qué los reguladores y los inversores esperan que las empresas aborden un triple riesgo