Se ha observado una operación vinculada a Vietnam recientemente descubierta que utiliza una hoja de aplicación de Google como «retransmisión de phishing» para distribuir correos electrónicos de phishing con el objetivo de comprometer cuentas de Facebook.

La actividad ha sido nombrada en código. CuentaDumpling por Guardio, con el plan vendiendo las cuentas robadas a través de una tienda ilícita dirigida por los actores de la amenaza. En total, se estima que unas 30.000 cuentas de Facebook fueron pirateadas como parte de la campaña.

«Lo que encontramos no fue ni un solo kit de phishing», afirmó el investigador de seguridad Shaked Chen. escribió en un informe compartido con The Hacker News. «Era una operación viva con paneles de operador en tiempo real, evasión avanzada, evolución continua y un circuito criminal-comercial que silenciosamente se alimenta de las mismas cuentas que ayuda a robar».

Los hallazgos son solo el ejemplo más reciente de cómo los actores de amenazas vietnamitas continúan adoptando diversas tácticas para obtener acceso no autorizado a las cuentas de Facebook de las víctimas, que luego se venden en ecosistemas subterráneos para obtener ganancias monetarias.

El punto de partida de los últimos ataques es un correo electrónico de phishing dirigido a propietarios de cuentas comerciales de Facebook, afirmando ser de Meta Support e instándolos a presentar una apelación o correr el riesgo de que su cuenta se elimine permanentemente. Los correos electrónicos se envían desde una dirección de Google AppSheet («noreply@appsheet.com»), lo que les permite evitar los filtros de spam.

Este falso sentido de urgencia se utiliza para dirigir a los usuarios a una página web falsa diseñada para recopilar sus credenciales. Vale la pena señalar que KnowBe4 informó sobre una campaña similar en mayo de 2025.

En las últimas semanas, estas campañas han adoptado varios tipos de señuelos diseñados para inducir un «pánico meta-relacionado». Estos van desde la inhabilitación de cuentas y quejas de derechos de autor hasta revisiones de verificación, reclutamiento de ejecutivos y alertas de inicio de sesión en Facebook. Los cuatro grupos principales identificados por Guardio se enumeran a continuación:

• Páginas del centro de ayuda de Facebook alojadas en Netlify que permiten ataques de apropiación de cuentas, además de recopilar fechas de nacimiento, números de teléfono y fotografías de identificación emitidas por el gobierno. En última instancia, los datos se reenvían a un canal de Telegram controlado por el atacante.
• Señuelos de evaluación con insignia azul que guían a las víctimas a las páginas «Comprobación de seguridad» o «Meta | Centro de privacidad» alojadas en Vercel que están cerradas por una verificación CAPTCHA falsa antes de dirigir a los usuarios a la página de inicio de phishing para recopilar detalles de contacto, información comercial, credenciales (después de un reintento forzado) y códigos de autenticación de dos factores (2FA) y exfiltrarlos a un canal de Telegram.
• Archivos PDF alojados en Google Drive que se hacen pasar por instrucciones para completar la verificación de la cuenta para dirigir a los usuarios a recopilar contraseñas, códigos 2FA, fotografías de identificación gubernamental y capturas de pantalla del navegador a través de html2canvas. Los documentos PDF se generan utilizando una cuenta gratuita de Canva.
• Ofertas de trabajo falsas que se hacen pasar por empresas como WhatsApp, Meta, Adobe, Pinterest, Apple y Coca-Cola para establecer una relación con los destinatarios y pedirles que se unan a una llamada o continúen la discusión en sitios controlados por atacantes.

En conjunto, se ha descubierto que los canales de Telegram asociados con los tres primeros grupos contienen alrededor de 30.000 registros de víctimas, la mayoría de las cuales están ubicadas en los EE. UU., Italia, Canadá, Filipinas, India, España, Australia, el Reino Unido, Brasil y México, y se les ha bloqueado el acceso a sus propias cuentas.

En cuanto a quién está detrás de la operación, la evidencia irrefutable proviene de los archivos PDF generados como parte del tercer grupo utilizando la cuenta gratuita de Canva, con metadatos que enumeran un nombre vietnamita «PHẠM TÀI TÂN» como autor de los archivos. Más inteligencia de fuente abierta ha llevado al descubrimiento de un sitio web («phamtaitan[.]vn»), donde ofrecen servicios de marketing digital.

En una publicación compartida en X en febrero de 2023, el identificador del sitio web dicho «se especializa en brindar servicios de marketing digital, recursos de marketing y consultoría sobre estrategias efectivas de marketing digital».

«En conjunto, forman una imagen consistente de una gran mega operación con base en Vietnam», dijo Chen. «Esta campaña es más grande que un simple abuso de AppSheet. Es una ventana al mercado oscuro en torno a los activos robados de Facebook, donde el acceso, la identidad comercial, la reputación de los anuncios e incluso la recuperación de cuentas se han convertido en productos comercializables. Otra entrada en el patrón que seguimos apareciendo: plataformas confiables reutilizadas como capas de entrega, alojamiento y monetización».

Las agencias de ciberseguridad de Estados Unidos, Australia, Canadá, Nueva Zelanda y el Reino Unido publicaron conjuntamente el viernes una guía instando a las organizaciones a tratar los sistemas autónomos de inteligencia artificial como una preocupación central de ciberseguridad, advirtiendo que la tecnología ya se está implementando en sectores críticos de infraestructura y defensa con salvaguardias insuficientes.

La guía se centra en la IA agente: software construido sobre grandes modelos de lenguaje que pueden planificar, tomar decisiones y realizar acciones de forma autónoma. Para que este software funcione, necesita conectarse a herramientas externas, bases de datos, almacenes de memoria y flujos de trabajo automatizados, lo que le permite ejecutar tareas de varios pasos sin revisión humana en cada etapa.

La guía fue coautora de la Agencia de Seguridad Cibernética y de Infraestructura de EE. UU., la Agencia de Seguridad Nacional, el Centro Australiano de Seguridad Cibernética de la Dirección de Señales de Australia, el Centro Canadiense de Seguridad Cibernética, el Centro Nacional de Seguridad Cibernética de Nueva Zelanda y el Centro Nacional de Seguridad Cibernética del Reino Unido.

El mensaje central de las agencias es que la IA agente no requiere una disciplina de seguridad completamente nueva. Las organizaciones deben incorporar estos sistemas a los marcos de ciberseguridad y las estructuras de gobernanza que ya mantienen, aplicando principios establecidos como confianza cero, defensa en profundidad y acceso con privilegios mínimos.

El documento identifica cinco categorías amplias de riesgo. El primero es el privilegio: cuando a los agentes se les concede demasiado acceso, un solo compromiso puede causar mucho más daño que una vulnerabilidad de software típica. El segundo cubre fallas de diseño y configuración, donde una mala configuración crea brechas de seguridad incluso antes de que un sistema entre en funcionamiento.

La tercera categoría cubre riesgos de comportamiento, o casos en los que un agente persigue un objetivo de maneras que sus diseñadores nunca pretendieron o predijeron. El cuarto es el riesgo estructural, donde las redes interconectadas de agentes pueden desencadenar fallas que se extienden a través de los sistemas de una organización.

La quinta categoría es la rendición de cuentas. Los sistemas agentes toman decisiones a través de procesos que son difíciles de inspeccionar y generan registros que son difíciles de analizar, lo que dificulta rastrear qué salió mal y por qué. Las agencias también señalan que cuando estos sistemas fallan, las consecuencias pueden ser concretas: archivos alterados, controles de acceso modificados y pistas de auditoría eliminadas.

La guía también señala la inyección rápida, donde las instrucciones incrustadas dentro de los datos pueden secuestrar el comportamiento de un agente para realizar tareas maliciosas. La inyección rápida ha sido un problema persistente con los modelos de lenguajes grandes, y algunas empresas admiten que es posible que el problema nunca se resuelva.

La gestión de identidad recibe una atención significativa en todo el documento. Las agencias recomiendan que cada agente lleve una identidad verificada y protegida criptográficamente, utilice credenciales de corta duración y cifre todas las comunicaciones con otros agentes y servicios. Para las acciones de alto impacto, un ser humano debería tener que aprobar, y la guía es explícita en el sentido de que decidir qué acciones requieren esa aprobación es un trabajo para los diseñadores de sistemas, no para el agente.

Las agencias admiten que el campo de la seguridad no se ha puesto al día con la IA agente. Algunos riesgos exclusivos de estos sistemas aún no están cubiertos por los marcos existentes, y la guía exige más investigación y colaboración a medida que la tecnología asume un número creciente de funciones operativas.

«Hasta que las prácticas de seguridad, los métodos de evaluación y los estándares maduren, las organizaciones deben asumir que los sistemas de IA agentes pueden comportarse de manera inesperada y planificar las implementaciones en consecuencia, priorizando la resiliencia, la reversibilidad y la contención de riesgos sobre las ganancias de eficiencia», se lee en la guía.

Puede leer la guía completa a continuación.

Investigadores de ciberseguridad han revelado detalles de una nueva campaña de espionaje alineada con China dirigida a sectores gubernamentales y de defensa en todo el sur, este y sudeste de Asia, junto con un gobierno europeo perteneciente a la OTAN.

Trend Micro ha atribuido la actividad a un grupo de actividades de amenazas que rastrea bajo la designación temporal. SOMBRA-TIERRA-053. Se considera que el colectivo adversario está activo desde al menos diciembre de 2024, aunque comparte cierto nivel de superposición de red con CL-STA-0049, Earth Alux y REF7707.

«El grupo explota las vulnerabilidades del día N en los servidores Microsoft Exchange y Internet Information Services (IIS) conectados a Internet (por ejemplo, la cadena ProxyLogon), luego implementa shells web (Godzilla) para acceso persistente y prepara implantes ShadowPad a través de la descarga de DLL de ejecutables firmados legítimos», investigadores de seguridad Daniel Lunghi y Lucas Silva dicho en un análisis.

Los objetivos de las campañas incluyen Pakistán, Tailandia, Malasia, India, Myanmar, Sri Lanka y Taiwán. El único país europeo que figura en la huella victimológica del actor de amenazas es Polonia.

El proveedor de ciberseguridad dijo que observó casi la mitad de los objetivos de SHADOW-EARTH-053, particularmente aquellos en Malasia, Sri Lanka y Myanmar, también comprometidos anteriormente por un conjunto de intrusiones relacionado denominado SHADOW-EARTH-054, aunque no se ha observado evidencia de coordinación operativa directa.

El punto de partida de los ataques es la explotación de fallos de seguridad conocidos para violar sistemas sin parches y lanzar web shells como Godzilla para facilitar el acceso remoto persistente. Los web shells funcionan como un vehículo de entrega para la ejecución de comandos, lo que permite el reconocimiento y, en última instancia, da como resultado la implementación de la puerta trasera ShadowPad a través de AnyDesk. El malware se inicia mediante carga lateral de DLL.

En al menos un caso, se dice que la utilización de React2Shell (CVE-2025-55182) como arma facilitó la distribución de una versión Linux de Noodle RAT (también conocido como ANGRYREBEL y Nood RAT). Vale la pena mencionar aquí que Google Threat Intelligence Group (GTIG) vinculó esta cadena de ataque a un grupo conocido como UNC6595.

También se utilizan herramientas de tunelización de código abierto como IOX, GO Simple Tunnel (GOST) y Wstunnel, así como RingQ para empaquetar archivos binarios maliciosos y evadir la detección. Para facilitar la escalada de privilegios, se ha descubierto que SHADOW-EARTH-053 utiliza Mimikatz, mientras que el movimiento lateral se logra utilizando un iniciador de protocolo de escritorio remoto (RDP) personalizado y una implementación C# de SMBExec conocida como Sharp-SMBExec.

«El principal vector de entrada utilizado en esta campaña fueron las vulnerabilidades en las aplicaciones IIS conectadas a Internet», afirmó Trend Micro. «Las organizaciones deben priorizar la aplicación de las últimas actualizaciones de seguridad y parches acumulativos a Microsoft Exchange y cualquier aplicación web alojada en IIS».

«En escenarios donde la aplicación de parches inmediatos no es factible, recomendamos encarecidamente implementar sistemas de prevención de intrusiones (IPS) o firewalls de aplicaciones web (WAF) con conjuntos de reglas específicamente ajustados para bloquear intentos de explotación contra estos conocidos CVE (parches virtuales)».

GLITTER CARP y SEQUIN CARP persiguen a activistas y periodistas

La divulgación se produce cuando Citizen Lab señaló una nueva campaña de phishing emprendida por dos actores de amenazas distintos afiliados a China que apuntan y se hacen pasar por periodistas y la sociedad civil, incluidos activistas de la diáspora uigures, tibetanos, taiwaneses y de Hong Kong. Las campañas de amplio alcance se detectaron por primera vez en abril y junio de 2025, respectivamente.

Los grupos han sido nombrados en código. CARPA BRILLANTEque ha destacado al Consorcio Internacional de Periodistas de Investigación (ICIJ), y CARPA DE LENTEJUELAScuyo objetivo principal era la periodista del ICIJ Scilla Alecci y otros periodistas internacionales que escribían sobre temas de interés crítico para el gobierno chino.

«El actor emplea esquemas de suplantación de identidad digital bien pensados ​​en correos electrónicos de phishing, incluida la suplantación de personas conocidas y alertas de seguridad de empresas de tecnología», dijo Citizen Lab. dicho. «Aunque los grupos objetivo varían, esta actividad emplea la misma infraestructura y tácticas en todos los casos, reutilizando con frecuencia los mismos dominios y las mismas personas suplantadas en múltiples objetivos».

GLITTER CARP, además de realizar ataques de phishing a gran escala, ha estado vinculado a campañas de phishing dirigidas a la industria de semiconductores de Taiwán. Algunos aspectos de estos esfuerzos fueron documentados previamente por Proofpoint en julio de 2025 con el nombre UNK_SparkyCarp. SEQUIN CARP, por otro lado, comparte similitudes con un grupo rastreado por Volexity como UTA0388 y un conjunto de intrusión detallado por Trend Micro como TAOTH.

El objetivo final de las campañas es obtener acceso inicial a cuentas de correo electrónico mediante la recolección de credenciales, páginas de phishing o mediante ingeniería social al objetivo para que otorgue acceso a un token OAuth de terceros. Los correos electrónicos de phishing de GLITTER CARP también implican el uso de píxeles de seguimiento 1×1 que apuntan a una URL en el dominio del atacante para recopilar información del dispositivo y confirmar si fueron abiertos por los destinatarios.

Citizen Lab dijo que «observó ataques simultáneos a organizaciones específicas utilizando tanto el kit de phishing AiTM (GLITTER CARP, UNK_SparkyCarp) como la entrega de HealthKick utilizando diferentes tácticas de phishing por parte de un grupo separado (UNK_DropPitch)». Esto indica cierto nivel de superposición entre estos grupos, añadió, aunque la naturaleza precisa de la relación sigue siendo desconocida.

«Nuestro análisis de los ataques GLITTER CARP y SEQUIN CARP muestra que la represión transnacional digital opera cada vez más a través de una red distribuida de actores», dijo la unidad de investigación. «Los objetivos que identificamos tanto en GLITTER CARP como en SEQUIN CARP se alinean con las prioridades de inteligencia del gobierno chino».

«La amplitud de los objetivos documentados en este informe y en otros, combinada con la información disponible sobre el uso pasado y actual de contratistas por parte de China, que refleja la actividad que hemos observado, sugiere con un nivel medio de confianza que las entidades comerciales contratadas por el Estado chino pueden haber estado detrás de ambos grupos de actividad descritos aquí».

Los investigadores de ciberseguridad advierten sobre dos grupos de ciberdelincuentes que están llevando a cabo «ataques rápidos y de alto impacto» que operan casi dentro de los límites de los entornos SaaS, dejando mínimos rastros de sus acciones.

Los racimos, Araña cordial (también conocido como BlackFile, CL-CRI-1116, O-UNC-045 y UNC6671) y Araña sarcástica (también conocidos como O-UNC-025 y UNC6661), se han atribuido a campañas de extorsión y robo de datos de alta velocidad que comparten un grado notable de similitudes operativas. Se estima que ambos grupos de piratas informáticos están activos desde al menos octubre de 2025, y este último es un equipo nativo de habla inglesa que comparte vínculos con el ecosistema de delitos electrónicos conocido como The Com.

«En la mayoría de los casos, estos adversarios utilizan el phishing de voz (vishing) para dirigir a los usuarios específicos a páginas maliciosas de adversario en el medio (AiTM) con temática de SSO, donde capturan datos de autenticación y pivotan directamente hacia aplicaciones SaaS integradas con SSO», Counter Adversary Operations de CrowdStrike. dicho en un informe.

«Al operar casi exclusivamente dentro de entornos SaaS confiables, minimizan su huella y aceleran el tiempo de impacto. La combinación de velocidad, precisión y actividad exclusivamente SaaS crea importantes desafíos de detección y visibilidad para los defensores».

En un informe publicado en enero de 2026, Mandiant, propiedad de Google, reveló que los dos grupos representan una expansión en la actividad de amenazas que emplea tácticas consistentes con ataques con temas de extorsión llevados a cabo por el grupo ShinyHunters. Esto implica hacerse pasar por personal de TI en llamadas para engañar a las víctimas y obtener sus credenciales y códigos de autenticación multifactor (MFA) dirigiéndolas a páginas de phishing.

Snarky Spider comienza la exfiltración en menos de una hora

Tan recientemente como la semana pasada, la Unidad 42 de Palo Alto Networks y el Centro de análisis e intercambio de información de comercio minorista y hotelería (RH-ISAC) juzgado con una confianza moderada en que los atacantes detrás de CL-CRI-1116 probablemente también estén asociados con The Com, agregando que las intrusiones se basan principalmente en técnicas de vida fuera de la tierra (LotL), así como también utilizan proxies residenciales para ocultar su ubicación geográfica y eludir los filtros de reputación básicos basados ​​en IP.

«La actividad CL-CRI-1116 se ha dirigido activamente al espacio minorista y hotelero desde febrero de 2026, aprovechando específicamente los ataques de vishing que se hacen pasar por personal de la mesa de ayuda de TI en combinación con sitios de inicio de sesión de phishing para robar credenciales», dijeron los investigadores Lee Clark, Matt Brady y Cuong Dinh.

Se sabe que los ataques montados por los dos grupos registran un nuevo dispositivo para eludir MFA y mantener el acceso comprometido, pero no antes de eliminar los dispositivos existentes, después de lo cual los actores de amenazas actúan para suprimir las notificaciones automáticas por correo electrónico relacionadas con el registro de dispositivos no autorizados configurando reglas de bandeja de entrada que eliminan automáticamente dichos mensajes.

La siguiente etapa implica centrarse en cuentas con altos privilegios mediante una mayor ingeniería social mediante la extracción de directorios internos de empleados. Al volver a tener acceso elevado, los adversarios irrumpen en entornos SaaS objetivo para buscar archivos de alto valor e informes críticos para el negocio en Google Workspace, HubSpot, Microsoft SharePoint y Salesforce, y luego extraen datos de interés a la infraestructura bajo su control.

«En la mayoría de los casos observados, estas credenciales otorgan acceso al proveedor de identidad (IdP) de la organización, proporcionando un único punto de entrada a múltiples aplicaciones SaaS», dijo CrowdStrike. «Al abusar de la relación de confianza entre el IdP y los servicios conectados, los adversarios evitan la necesidad de comprometer aplicaciones SaaS individuales y, en cambio, se mueven lateralmente a través de todo el ecosistema SaaS de la víctima con una única sesión autenticada».

El Departamento de Justicia de EE. UU. (DoJ) anunció el jueves la sentencia de dos profesionales de la ciberseguridad a cuatro años de prisión cada uno por su papel en facilitar los ataques de ransomware BlackCat en 2023.

Ryan Goldberg40 años, de Georgia, y Kevin MartínLos dos acusados, que se declararon culpables de sus delitos en diciembre de 2025, conspiraron con Angelo Martino, de 41 años, de Florida, para llevar a cabo los ataques.

«Los tres hombres acordaron pagar a los administradores de ALPHV BlackCat una participación del 20% de cualquier rescate recibido a cambio de acceso al ransomware y a la plataforma de extorsión de ALPHV/BlackCat», dijo el Departamento de Justicia. dicho.

«Los tres hombres trabajaban en la industria de la ciberseguridad, lo que significa que tenían habilidades y experiencia especiales en proteger los sistemas informáticos contra daños, incluido el tipo de daño que ellos mismos estaban cometiendo contra las víctimas en este caso».

En un caso, se dice que los acusados ​​extorsionaron con éxito a una víctima por aproximadamente 1,2 millones de dólares en Bitcoin, dividiendo su participación del 80% en tres partes y posteriormente lavando los fondos para encubrir las huellas.

Aunque el esquema de ransomware como servicio (RaaS) BlackCat ya no existe, se estima que el grupo apuntó a las redes informáticas de más de 1.000 víctimas en todo el mundo.

El acontecimiento se produce una semana después de que Martino se declarara culpable del mismo delito y su sentencia está prevista para julio de 2026. Además, se dice que Martino abusó de su papel como negociador para obtener pagos más altos de las víctimas al compartir información confidencial sobre los límites de sus pólizas de seguro con los operadores de BlackCat.

Martino y Martin trabajaron para DigitalMint, mientras que Goldberg trabajó como gerente de respuesta a incidentes para la empresa de ciberseguridad Sygnia.

«Estos acusados ​​explotaron conocimientos especializados en ciberseguridad no para proteger a las víctimas, sino para extorsionarlas», dijo el fiscal federal Jason A. Reding Quiñones para el Distrito Sur de Florida. «Usaron ransomware para bloquear sistemas críticos, robar datos confidenciales y presionar a las empresas estadounidenses para que pagaran para recuperar el acceso a su propia información».

Se prevé que el mercado de servicios de seguridad gestionados crezca de 38.310 millones de dólares en 2025 a 69.160 millones de dólares en 2030.^[1]siendo la ciberseguridad el sector de más rápido crecimiento^[2]. A pesar de esta oportunidad, muchos MSP dejan los ingresos sobre la mesa porque su estrategia de comercialización no logra conectar la experiencia técnica con las necesidades comerciales.

Esta brecha de ejecución es donde se estancan la mayoría de los acuerdos. Los MSP a menudo se centran en marcos y vulnerabilidades, pero sus clientes toman decisiones basadas en los resultados comerciales: reducción de riesgos, auditorías de cumplimiento exitosas y continuidad del negocio. Cuando los mensajes de ventas no logran cerrar esta brecha, los clientes potenciales tienden a ver la ciberseguridad como un centro de costos en lugar de una inversión estratégica. Para ganar, los MSP deben alinear el valor de la seguridad con las prioridades comerciales y traducir ofertas complejas en razones convincentes para que los clientes actuales y potenciales actúen.

cinomi desarrolló el Kit de ventas de la Academia GTM para abordar este desafío y proporcionar un enfoque estructurado y basado en resultados para ayudar a los equipos de ventas de MSP a convertir la creciente demanda en ingresos consistentes y rentables.

A través de nuestro trabajo para potenciar el crecimiento de los socios, hemos identificado cinco desafíos principales de comercialización que frenan a los MSP y las estrategias necesarias para superarlos.

1. Superar la falta de urgencia del cliente

Los datos muestran que el 77 % de los MSP citan la falta de urgencia del cliente como un importante desafío de ventas.^[3]. Los equipos técnicos comprenden las debilidades de seguridad de un cliente potencial, pero les cuesta traducir ese riesgo en los términos comerciales que impulsan la inversión. Cuando esa traducción falla, la ciberseguridad se convierte en una línea a postergar en lugar de una prioridad estratégica. Los vendedores deben aprender a enmarcar la gestión del programa de seguridad en términos de continuidad operativa, consecuencias regulatorias y responsabilidad reputacional para crear urgencia inmediata.

2. Navegando por comités de compras ampliados

Las decisiones de compra no ocurren en el vacío. Los comités de compras para la ciberseguridad se han ampliado a un promedio de más de ocho partes interesadas, con proyecciones que superarán las nueve partes interesadas para 2026.^[4]. Está tratando con ejecutivos, finanzas, TI y operaciones. Estos individuos tienen diferentes preocupaciones, motivaciones y definiciones de valor. Las preguntas de descubrimiento que mueven a un CEO no son las mismas que mueven a un CTO. Los MSP deben desarrollar marcos de descubrimiento personalizados para las diferentes partes interesadas del negocio para que los acuerdos complejos sigan avanzando.

3. Derrotar la objeción del costo

La sensibilidad a los costos sigue siendo una barrera persistente: el 66 % de las PYMES identifican los costos como su principal obstáculo para adoptar una seguridad más sólida.^[5]. Los clientes potenciales a menudo ven la seguridad como un costo irrecuperable en lugar de un facilitador de negocios. Superar esto requiere un marco de puntuación objetivo y un manejo claro de las objeciones que aborde las creencias subyacentes que impulsan la vacilación, en lugar de simplemente reformular el argumento técnico.

4. Aprovechar el cumplimiento como catalizador

Más del 56 % de los nuevos acuerdos de seguridad gestionada se inician para cumplir con los requisitos de cumplimiento.^[6]. Los plazos que rodean las renovaciones de seguros cibernéticos, los mandatos de la industria y las leyes de privacidad a nivel estatal crean un cronograma estricto que las conversaciones de ventas orgánicas rara vez generan. Los proveedores deben posicionar la preparación para el cumplimiento como un punto de entrada potencial, pero solo como un resultado de una gestión de programa de seguridad más amplia.

5. Ampliación de los ingresos en cuentas existentes

Para los MSP establecidos, los clientes existentes representan el camino más rápido hacia el crecimiento de los socios y la habilitación de ingresos. Sin embargo, centrarse únicamente en la adquisición de nuevos clientes deja importantes ingresos sin explotar dentro de su base actual. Para ampliar las cuentas se necesita una estrategia deliberada basada en datos.

Para ampliar los ingresos de los clientes existentes, los MSP deben utilizar elementos visuales, Inteligencia CISO paneles para revisar proactivamente las posturas de seguridad e identificar brechas. Este análisis impulsa campañas de ventas adicionales personalizadas y justifica nuevas inversiones durante las revisiones comerciales estratégicas. Comparar a los clientes con sus pares de la industria crea urgencia, mientras que la educación constante sobre el impacto de la seguridad en el negocio refuerza su valor.

Al convertir la gestión de cuentas en una relación de asesoramiento continua y generar constantemente nuevos valores, los MSP pueden profundizar la confianza, impulsar la mejora de los márgenes y desbloquear oportunidades de ingresos recurrentes año tras año.

Convertir los desafíos de GTM en oportunidades: estrategias prácticas

Superar estas barreras de ventas requiere un enfoque disciplinado y sistemático anclado en procesos procesables y alineación estratégica.

• Alinear mensajes técnicos y de ventas:Trabaje en colaboración con expertos técnicos para traducir los hallazgos de seguridad en resultados comerciales. Utilice un lenguaje amigable para el cliente para comunicar el riesgo, el impacto operativo y el valor comercial en lugar de jerga técnica.
• Mapee el panorama de las partes interesadas con anticipación: Identifique a todos los tomadores de decisiones y personas influyentes desde el principio, incluidos los líderes ejecutivos, financieros, de TI y operativos. Desarrolle mensajes y presentaciones dirigidos a las prioridades de cada persona y genere consenso a través de una comunicación regular y transparente.
• Cuantificar los resultados y el ROI: Presente las inversiones en seguridad en términos de impacto mensurable, como la reducción del tiempo de respuesta a incidentes, la disminución del riesgo de cumplimiento o la mejora del tiempo de actividad operativa. Proporcionar a los tomadores de decisiones datos concretos basados ​​en evaluaciones de impacto empresarial respalda decisiones de compra más rápidas y con mayor confianza.
• Automatice para lograr coherencia y escala: Aproveche los kits de ventas, los manuales de estrategias y la tecnología CRM para estandarizar el alcance, el descubrimiento y el desarrollo de propuestas. Los procesos consistentes y un repositorio central para las respuestas de descubrimiento garantizan transferencias fluidas del cliente potencial al cliente, incluso con múltiples partes interesadas involucradas.
• Mida, optimice y adapte: Realice un seguimiento del rendimiento de las ventas en comparación con indicadores principales, como tasas de conversión, duración del ciclo de transacciones y frecuencia de ventas adicionales. Analice su cartera de manera consistente para identificar cuellos de botella y perfeccionar su estrategia de ventas.

Recursos dirigidos por operadores para la gestión de programas de seguridad

Para ayudar a los proveedores de servicios a lograr un crecimiento predecible, Cynomi estableció la Academia GTM.

Diseñada como un programa de habilitación práctica para MSP y MSSP, la Academia GTM presenta recursos desarrollados por profesionales que ejecutan y escalan activamente prácticas de seguridad. El primer lanzamiento es el Kit completo de ventasque incluye docenas de recursos que cubren cada etapa del ciclo de vida de las ventas, desde la prospección inicial hasta el cierre y la expansión.

El kit proporciona herramientas prácticas para resolver los desafíos de ventas más difíciles, que incluyen:

• Vídeos prácticos de operadores de MSP y profesionales de GTM
• Marcos estratégicos de perfil de cliente ideal (ICP) para dirigirse a los compradores de forma eficaz
• Posicionar scripts y plantillas de correo electrónico para impulsar la participación
• Marcos de descubrimiento adaptados a las partes interesadas técnicas y comerciales
• Hojas de trucos y hojas de trabajo de puntuación para construir un proceso predecible
• Venta adicional y venta cruzada de manuales para ampliar las cuentas existentes

Como plataforma de crecimiento de seguridad, que unifica la gestión de programas de seguridad, la gestión de riesgos y las capacidades de GRC para ayudar a los socios a escalar, Cynomi entiende que el movimiento de ventas y la prestación de servicios deben reforzarse entre sí para proteger a cada cliente, en cada nivel de madurez. El kit de ventas completo proporciona la base para generar ese movimiento y permite a su equipo brindar orientación experta con confianza y coherencia.

Construyendo una ventaja de ventas sostenible

Para pasar de la venta reactiva al éxito predecible, los MSP necesitan un sistema escalable que evolucione con el mercado. Invierta en educación continua organizando talleres internos, revisando ganancias y pérdidas y conectando métricas de ventas con objetivos comerciales como mejora de márgenes y retención de clientes.

Una cultura de aprendizaje continuo, basada en los conocimientos de los mejores empleados y la tutoría de pares, prepara a su equipo para abordar nuevas amenazas y regulaciones con autoridad. Al incorporar estas mejores prácticas, los MSP pueden convertirse en asesores de seguridad confiables, reducir la fricción, acelerar los ingresos y maximizar el valor para el cliente.

Se ha observado una nueva campaña de ataque a la cadena de suministro de software que utiliza paquetes durmientes como conducto para impulsar posteriormente cargas útiles maliciosas que permitieron el robo de credenciales, la manipulación de GitHub Actions y la persistencia de SSH.

La actividad se ha atribuido a la cuenta de GitHub «BufferZoneCorp,», que ha publicado un conjunto de repositorios asociados con gemas Ruby maliciosas y módulos Go. Al momento de escribir este artículo, los paquetes han sido retirados de RubyGems y los módulos Go han sido bloqueados. Los nombres de las bibliotecas se enumeran a continuación:

• Rubí:
  • registrador de soporte activo de nudos
  • nudo-diseñar-jwt-ayudante
  • tienda-de-sesiones-en-nudos
  • tubería-de-activos-de-rieles-de-nudos
  • nudo-rspec-formateador-json
  • nudo-fecha-utils-rb (gema durmiente)
  • nudo-simple-formateador (gema durmiente)
• Ir:
  • github[.]es/BufferZoneCorp/go-metrics-sdk
  • github[.]es/BufferZoneCorp/go-weather-sdk
  • github[.]es/BufferZoneCorp/go-retryablehttp
  • github[.]es/BufferZoneCorp/go-stdlib-ext
  • github[.]es/BufferZoneCorp/grpc-client
  • github[.]es/BufferZoneCorp/net-helper
  • github[.]es/BufferZoneCorp/config-loader
  • github[.]com/BufferZoneCorp/log-core (módulo durmiente)
  • github[.]com/BufferZoneCorp/go-envconfig (módulo durmiente)

Los paquetes identificados se hacen pasar por módulos reconocibles y conocidos como activesupport-logger, devise-jwt, go-retryablehttp, grpc-client y config-loader para evadir la detección y engañar a los usuarios para que los descarguen.

«La cuenta es parte de una campaña de la cadena de suministro de software dirigida a desarrolladores, corredores de CI y entornos de construcción en dos ecosistemas», dijo el investigador de seguridad de Socket Kirill Boychenko. dicho en un análisis publicado hoy.

Las gemas Ruby están diseñadas para automatizar el robo de credenciales durante el tiempo de instalación, recolectando variables de entorno, claves SSH, secretos de AWS, .npmrc, .netrc, configuración de GitHub CLI y credenciales de RubyGems. Los datos robados luego se filtran a un Webhook controlado por el atacante.[.]punto final del sitio.

Por otro lado, los módulos Go albergan capacidades más amplias para alterar los flujos de trabajo de GitHub Actions, colocar envoltorios Go falsos, robar datos de desarrolladores y agregar una clave pública SSH codificada a «~/.ssh/authorized_keys» para acceso remoto al host comprometido. No todos los módulos tienen la misma carga útil; en cambio, están distribuidos por todo el grupo.

«El módulo se ejecuta a través de init(), detecta GITHUB_ENV y GITHUB_PATH, configura HTTP_PROXY y HTTPS_PROXY, escribe un ejecutable go falso en un directorio de caché y agrega ese directorio a la ruta del flujo de trabajo para que el contenedor se seleccione antes que el binario real», explicó Boychenko.

«Ese contenedor puede luego interceptar o influir en ejecuciones posteriores y al mismo tiempo pasar el control al binario legítimo para evitar interrumpir el trabajo».

Se recomienda a los usuarios que hayan instalado los paquetes que los eliminen de sus sistemas, revisen los signos de acceso a archivos confidenciales o cambios no autorizados en «~/.ssh/authorized_keys», roten las credenciales expuestas e inspeccionen los registros de red para detectar tráfico HTTPS saliente al punto de exfiltración.

Dos ex profesionales de la ciberseguridad que trabajaron como ciberdelincuentes y cometieron una serie de ataques de ransomware en 2023, fueron cada uno condenado a cuatro años de prisióndijo el Departamento de Justicia el jueves.

Ryan Clifford Goldberg y Kevin Tyler Martin se declararon previamente culpables de uno de los tres cargos presentados contra ellos en diciembre y enfrentaban hasta 20 años tras las rejas.

Goldberg, que era gerente de respuesta a incidentes en Sygnia, y Martin, negociador de ransomware en DigitalMint en ese momento, colaboraron con Angelo John Martino III para atacar las computadoras y redes de las víctimas y utilizar el ransomware ALPHV, también conocido como BlackCat, para extorsionar pagos.

“Estos acusados ​​explotaron conocimientos especializados en ciberseguridad no para proteger a las víctimas, sino para extorsionarlas”, dijo en un comunicado Jason A. Reding Quiñones, fiscal federal para el Distrito Sur de Florida. «Usaron ransomware para bloquear sistemas críticos, robar datos confidenciales y presionar a las empresas estadounidenses para que pagaran para recuperar el acceso a su propia información».

Las víctimas afectadas por los ataques en los que participaron Goldberg y Martin durante un período de seis meses en 2023 incluyeron una empresa médica con sede en Florida, una empresa farmacéutica con sede en Maryland, un consultorio médico de California, una empresa de ingeniería con sede en California y un fabricante de drones en Virginia.

«Dañaron a importantes empresas que prestaban servicios médicos y de ingeniería. Jugaron duro con ellos, llegando incluso a provocar la filtración de datos de pacientes de una víctima en el consultorio médico», dijo en un comunicado A. Tysen Duva, fiscal general adjunto de la división penal del Departamento de Justicia.

«Se suponía que eran especialistas en ciberseguridad que hacían el bien y ayudaban a empresas y personas. En cambio, utilizaron sus habilidades cibernéticas de alto nivel para alimentar su codicia. Los atacantes de ransomware como este deberían ser castigados y eliminados de la sociedad para cumplir sus sentencias legales para que no puedan dañar a otros», añadió Duva.

Goldberg y Martin recibieron sentencias idénticas por sus crímenes, a pesar de diferencias significativas en torno a sus arrestos iniciales. Martin fue arrestado sin incidentes en octubre y puesto en libertad bajo fianza ese mismo mes.

Goldberg huyó del país en junio, 10 días después de ser entrevistado por el FBI. Fue arrestado el 22 de septiembre y se le ordenó permanecer bajo custodia en espera de juicio debido al riesgo de fuga.

Goldberg y su esposa abordaron un vuelo de ida a París desde Atlanta el 27 de junio y permanecieron en Europa hasta el 21 de septiembre. Cuando Goldberg voló directamente de Amsterdam a la Ciudad de México, fue arrestado al aterrizar y deportado a los Estados Unidos.

«Cuando Goldberg intentó huir al extranjero y escapar del procesamiento, el FBI lo rastreó a través de 10 países, lo que demuestra hasta dónde llegaremos para responsabilizar a los ciberdelincuentes y proteger a las víctimas», dijo en un comunicado Brett Leatherman, subdirector de la División Cibernética del FBI.

Los casos contra Golberg, Martin y su co-conspirador Martino muestran un ejemplo extremo, aunque raro, del punto más oscuro de la negociación del ransomware como práctica. Los peligros de la negociación de ransomware son excesivos y estas negociaciones de canal secundario, que en gran medida no se analizan, pueden salir mal por varias razones.

Goldberg, de 40 años, y Martin, de 36, extorsionaron a Martino para que pagara un rescate de 1,3 millones de dólares a la empresa médica en mayo de 2023, pero no recibieron pagos de rescate de sus otras víctimas.

El plan de ransomware de Martino fue mucho más allá y causó un daño significativamente mayor, ayudando a sus cómplices a extorsionar un total de 75,3 millones de dólares en pagos de rescate. Cinco de las víctimas de Martino contrataron a DigitalMint, que asignó al hombre de 41 años para llevar a cabo negociaciones sobre ransomware en nombre de sus clientes, una posición poco común que aprovechó para jugar en ambos lados.

Se declaró culpable a principios de este mes de compartir información confidencial sobre las posiciones de negociación interna de las organizaciones víctimas y los límites de las pólizas de seguro que obtuvo de su trabajo como negociador de ransomware para obtener el pago máximo de rescate para él y otros afiliados de BlackCat.

Las cinco víctimas con sede en EE. UU. que contrataron a DigitalMint y, sin saberlo, recurrieron a Martino para supuestamente llevar a cabo negociaciones de ransomware con él y sus co-conspiradores incluyen una organización sin fines de lucro y empresas de las industrias hotelera, de servicios financieros, minorista y médica. Las cinco víctimas pagaron un rescate.

Martino se entregó en marzo a los alguaciles estadounidenses en Miami y fue liberado con una fianza de 500.000 dólares. Se enfrenta a hasta 20 años de prisión federal y su sentencia está prevista para el 9 de julio.

Sygnia y DigitalMint no están acusadas de ningún conocimiento o participación en los delitos, y ambas dijeron anteriormente que despidieron a sus ex empleados una vez que las autoridades federales alertaron a las empresas sobre sus presuntos delitos.

ALPHV/BlackCat era un notorio grupo de ransomware y extorsión vinculado a una serie de ataques a proveedores de infraestructura crítica. La variante de ransomware apareció por primera vez a finales de 2021 y luego se utilizó en decenas de ataques a organizaciones del sector de la salud.

El grupo detrás de la cepa de ransomware también se atribuyó la responsabilidad del ataque de febrero de 2024 a la filial de UnitedHealth Group, Change Healthcare, que pagó un rescate de 22 millones de dólares y se convirtió en la mayor filtración de datos de atención médica registrada, comprometiendo los datos de alrededor de 190 millones de personas.