Dentro del manual de phishing de voz: El auge del grupo de vishing UNC6040
Table of Contents
Un nuevo actor en el ámbito del cibercrimen
Un grupo de ciberdelincuentes, denominado UNC6040, se ha consolidado como una fuerza destacada en el mundo de la ingeniería social. Identificado por el equipo de Inteligencia de Amenazas de Google, esta operación, con fines financieros, ha centrado sus ataques en empresas que utilizan Salesforce , la popular plataforma de gestión de relaciones con los clientes (CRM) en la nube. Lo que distingue a UNC6040 es su uso especializado del phishing de voz, comúnmente llamado "vishing", una táctica que aprovecha la interacción humana por teléfono para engañar a los empleados y conseguir que revelen información confidencial.
Si bien las ciberamenazas suelen basarse en vulnerabilidades de software, UNC6040 cambia la situación al atacar a quienes están detrás de los sistemas. Al hacerse pasar por personal de soporte técnico interno, el grupo persuade a los empleados para que, sin querer, comprometan sus propias organizaciones. Este enfoque práctico y basado en la voz añade credibilidad, especialmente en la era del teletrabajo, donde los empleados pueden estar más acostumbrados a hablar con personal de soporte desconocido.
La ingeniería social se une a Salesforce
En el núcleo de las campañas de UNC6040 se encuentra una compleja artimaña que utiliza una utilidad de Salesforce llamada Data Loader. Esta herramienta se utiliza habitualmente para importar y exportar grandes volúmenes de datos. Los atacantes la modifican, disfrazando la aplicación con nombres como "My Ticket Portal" y persuaden a las víctimas para que la autoricen a través de la interfaz oficial de Salesforce.
Una vez aprobada, la aplicación maliciosa actúa como una puerta trasera al entorno CRM de la organización, otorgando a UNC6040 acceso directo a datos valiosos de los clientes. El engaño no termina ahí. Los atacantes suelen aprovechar esta ventaja para expandirse lateralmente, llegando a otros sistemas internos como Okta, Microsoft 365 y Workplace. Es un efecto dominó: comienza con una llamada telefónica y termina con una exposición generalizada de datos.
Más que un simple robo de datos
Las consecuencias de la actividad de UNC6040 van mucho más allá del robo de datos. En algunos casos, el grupo o sus afiliados han regresado meses después con demandas de extorsión, utilizando la información robada como palanca. Para aumentar la presión, afirman tener vínculos con ShinyHunters , un conocido colectivo de hackers, aunque no se ha confirmado una afiliación directa.
Esta estrategia de extorsión diferida sugiere un enfoque calculado, posiblemente en coordinación con otros actores del cibercrimen. También destaca el riesgo a largo plazo que representan estas brechas. Es posible que las organizaciones no sientan el impacto total hasta mucho después de la vulneración inicial, lo que da tiempo a los atacantes para explorar el valor y los posibles usos de los datos robados.
No es una amenaza aislada
UNC6040 no opera de forma aislada. Sus tácticas se solapan con las de otros grupos de ciberdelincuentes, como Scattered Spider, parte de una red poco organizada conocida como The Com. Estas conexiones sugieren que el vishing se ha convertido en un método predilecto entre los ciberdelincuentes con motivaciones económicas.
Lo más destacable es cómo estos grupos adaptan las técnicas tradicionales de phishing a la dinámica laboral moderna. Dado que muchas empresas dependen del soporte informático remoto y de servicios de asistencia externalizados, la presencia de una voz desconocida al teléfono ya no es una señal de alerta. Esta normalización de las interacciones remotas ofrece a los atacantes mayor margen de maniobra.
Por qué esto importa ahora
Salesforce, consciente de la creciente amenaza, emitió una advertencia en marzo de 2025, alertando a sus clientes sobre estas tácticas. Según la compañía, no hay evidencia de una vulnerabilidad en su plataforma. En cambio, los ataques se basan en explotar la falta de conocimiento de ciberseguridad de los usuarios. En todos los casos reportados, los atacantes utilizaron ingeniería social, no exploits técnicos, para vulnerar las defensas.
Este desarrollo pone de relieve el cambiante panorama de la ciberseguridad. A medida que las plataformas tecnológicas refuerzan sus sistemas, los atacantes se centran en objetivos más vulnerables: las personas. El phishing de voz combina el engaño tradicional con herramientas modernas, lo que demuestra que incluso los entornos de alta tecnología son vulnerables a la manipulación de baja tecnología.
Cómo pueden responder las organizaciones
El auge de UNC6040 es una llamada de atención para empresas de todos los tamaños. Si bien los firewalls y las herramientas antivirus siguen siendo esenciales, no pueden defenderse de una llamada telefónica convincente. La formación de los empleados es ahora una capa de defensa crucial. Las organizaciones deben capacitar al personal para que reconozca señales de alerta, como solicitudes de TI inesperadas, autorizaciones inusuales de aplicaciones o presión para actuar con rapidez.
Además, las medidas de seguridad técnicas, como los flujos de trabajo de aprobación de aplicaciones, la autenticación multifactor y los controles de acceso restringido, pueden ayudar a contener las consecuencias si la ingeniería social tiene éxito. Monitorear la actividad inusual de las aplicaciones y reforzar los permisos de integración en plataformas como Salesforce son ahora imprescindibles, no solo deseables.
En resumen
UNC6040 representa una clase creciente de ciberamenazas que se aprovechan de la confianza y el comportamiento humano en lugar de las fallas de software. Sus campañas nos recuerdan que la ciberseguridad no es solo un desafío técnico, sino también humano. A medida que las tácticas de phishing de voz se vuelven más sofisticadas, las organizaciones deben invertir por igual en concienciación y tecnología para defenderse. La llamada puede parecer una ayuda, pero como ha demostrado UNC6040, podría ser el comienzo de algo mucho más dañino.
