FBI advierte que el Grupo Silent Ransom se hace pasar físicamente por personal de TI en bufetes de abogados

FBI advierte que el Grupo Silent Ransom se hace pasar físicamente por personal de TI en bufetes de abogados

El FBI ha emitido una alerta formal advirtiendo que un actor de amenazas conocido como Silent Ransom Group (SRG) está atacando bufetes de abogados mediante una combinación de ingeniería social y suplantación física. A diferencia de la mayoría de los ciberataques que se originan de forma remota, los operativos de SRG se presentan en persona, haciéndose pasar por personal de soporte de TI, obteniendo acceso físico a los dispositivos de oficina, robando datos confidenciales y luego extorsionando a las organizaciones. Para los profesionales del derecho que asumen que sus defensas digitales son suficientes, esta alerta es una llamada de atención importante.

Cómo el Grupo Silent Ransom obtiene acceso físico a las redes de los bufetes de abogados

La mecánica del enfoque de SRG es sencilla pero muy eficaz. Los atacantes realizan un reconocimiento del bufete objetivo, identificando al personal, las ubicaciones de las oficinas y los flujos de trabajo de TI. Luego se presentan físicamente en la oficina, haciéndose pasar por técnicos de TI o contratistas de soporte. Al proyectar confianza y familiaridad con el entorno del bufete, convencen al personal para que les conceda acceso a ordenadores, servidores u otros dispositivos en red.

Una vez dentro, el grupo extrae datos directamente de los equipos a los que puede acceder físicamente. Esto puede incluir archivos de clientes, documentación de casos, registros financieros o comunicaciones privilegiadas. Tras la exfiltración, las víctimas reciben demandas de extorsión, con la amenaza de publicar o vender la información robada si no se efectúa el pago.

Los bufetes de abogados son un objetivo especialmente atractivo en este modelo. Almacenan enormes volúmenes de datos de clientes confidenciales, privilegiados y a menudo secretos. Además, históricamente son instituciones basadas en la confianza y las relaciones profesionales, lo que hace que el personal sea más propenso a atender con cortesía a alguien que parece estar allí en calidad oficial.

Por qué las VPN y la segmentación de red no detienen a alguien que ya está en la sala

La mayoría de las conversaciones sobre ciberseguridad se centran en amenazas remotas: correos de phishing, robo de credenciales, ransomware distribuido mediante enlaces maliciosos. Las herramientas que se suelen implementar como respuesta, incluyendo VPN, cortafuegos y segmentación de red, están diseñadas para controlar el tráfico que entra y sale de un sistema a través de internet. Son prácticamente irrelevantes cuando un atacante está sentado frente a una estación de trabajo dentro del edificio.

Los ataques de suplantación física que sufren los bufetes de abogados por parte de grupos como SRG eluden todas las capas de defensa basadas en la red. Si a alguien se le da acceso a un ordenador con la sesión iniciada, la autenticación multifactor ya ha sido superada. Si conectan una memoria USB o acceden a una carpeta compartida en la red local, los túneles cifrados entre usuarios remotos no significan nada. La segmentación de red puede limitar el movimiento lateral hasta cierto punto, pero no evita el acceso a lo que ya es accesible desde el dispositivo que se está utilizando.

Este es el problema central de tratar la ciberseguridad como una disciplina puramente técnica. El comportamiento humano y los entornos físicos crean superficies de ataque que ningún producto de software puede abordar por completo. El mismo principio se aplica a las amenazas internas y el uso indebido de credenciales, como se ha visto en casos en los que los controles de acceso se eluden no por piratería sofisticada, sino por simple error humano o negligencia, un patrón analizado en la cobertura de un contratista de CISA que expuso claves de AWS y contraseñas en un repositorio público de GitHub.

Arquitectura de confianza cero y controles de seguridad física que realmente mitigan esta amenaza

A menudo se habla de la arquitectura de confianza cero en el contexto del acceso remoto, pero su principio fundamental se aplica directamente aquí: nunca asumir que una persona o dispositivo debe tener acceso simplemente porque parece estar en el lugar correcto. Para entornos físicos, esto se traduce en unas cuantas prácticas concretas.

En primer lugar, los procesos de verificación de visitantes y proveedores deben formalizarse y aplicarse de manera consistente. Cualquier persona que afirme ser del soporte de TI debe ser verificada a través de un canal independiente antes de darle acceso sin supervisión a cualquier dispositivo. Eso significa llamar directamente al departamento de TI, no usar un número proporcionado por el visitante, y confirmar que la visita fue programada.

En segundo lugar, las estaciones de trabajo y los dispositivos deben requerir una nueva autenticación tras periodos de inactividad, e idealmente no deben permanecer con la sesión iniciada en sistemas sensibles cuando no estén atendidos. Los bloqueos de puertos físicos o los bloqueadores de USB pueden prevenir transferencias de datos no autorizadas desde dispositivos a los que se accede sin autorización.

En tercer lugar, el registro de acceso a nivel de dispositivo es importante. Si una persona no autorizada obtiene acceso, los registros forenses ayudan a identificar lo que se ha llevado y a limitar el alcance de una posible demanda de extorsión posterior.

Por último, la formación del personal debe abordar explícitamente escenarios de ingeniería social física, no solo correos de phishing. Los empleados de los bufetes de abogados, especialmente el personal de recepción, deben saber que la cortesía y la deferencia hacia la autoridad aparente son precisamente los rasgos que explotan los atacantes.

Lo que esto significa para usted: pasos prácticos para profesionales de sectores sensibles

Si trabaja en el ámbito jurídico, financiero, sanitario o en cualquier otro campo que maneje información privilegiada o regulada, la alerta de SRG debería impulsar una revisión de su postura de seguridad tanto digital como física. He aquí por dónde empezar:

• Audite los protocolos de acceso de visitantes. ¿Tiene su organización un proceso formal para verificar las visitas de TI no programadas? Si la respuesta es no o no está clara, esa brecha debe cerrarse de inmediato.
• Revise las políticas de bloqueo de dispositivos y autenticación. Los dispositivos que se bloquean automáticamente tras la inactividad y requieren credenciales para reanudar reducen significativamente la ventana de oportunidad de un atacante físico.
• Forme al personal en ingeniería social física. Realice simulacros con su equipo en los que alguien se haga pasar por un proveedor o contratista de TI. Practique el hábito de verificar antes de conceder acceso.
• Evalúe su modelo de acceso a los datos. Aplique el principio de mínimo privilegio para que, incluso si una estación de trabajo se ve comprometida, el atacante no pueda acceder a más datos de los que maneja normalmente esa cuenta de usuario específica.
• Revise también sus políticas de acceso remoto. La seguridad física y los controles de acceso digital funcionan conjuntamente. Revisar uno sin el otro deja lagunas.

La alerta del FBI sobre el Grupo Silent Ransom es un recordatorio de que la seguridad efectiva requiere pensar en las amenazas en tres dimensiones: la red, el dispositivo y la sala. Para los profesionales de sectores sensibles, este es el momento de evaluar si sus protocolos actuales realmente detendrían a alguien que entra por la puerta principal con aspecto de pertenecer al lugar.