Investigadores de ciberseguridad han revelado detalles de una campaña de extorsión por robo de datos con fines financieros que se ha dirigido a docenas de organizaciones de servicios profesionales, legales y financieros en los EE. UU. entre enero y mayo de 2026.

Google Mandiant y Google Threat Intelligence Group (GTIG) han atribuido la actividad a un actor de amenazas denominado UNC3753que también se conoce como Chatty Spider, Luna Moth y Silent Ransom Group (SRG).

«UNC3753 aprovecha las técnicas de engaño de phishing por voz (vishing) y de ingeniería social para lograr acceso remoto a entornos corporativos», investigadores Chad Reams, Tufail Ahmed, Keith Knapp, Ashley Frazer y Tyler McLellan dicho.

«Usando pretextos como la migración de datos o correos electrónicos relacionados con facturas, los actores de amenazas inician conversaciones telefónicas haciéndose pasar por soporte de TI y convencen a los objetivos para que organicen sesiones de pantalla compartida y descarguen utilidades de administración y monitoreo remoto (RMM)».

Al obtener acceso, se ha descubierto que los actores de amenazas realizan búsquedas directas para localizar y exfiltrar archivos de interés o engañan a la víctima para que lleve a cabo acciones en su nombre. La información robada incluye acuerdos legales de propiedad, información de identificación personal (PII) y registros financieros.

En algunos casos, los atacantes han accedido a los sistemas de las víctimas en persona, haciéndose eco de un aviso emitido por la Oficina Federal de Investigaciones (FBI) de Estados Unidos el mes pasado. Estas intrusiones físicas involucran a actores de amenazas que se hacen pasar por técnicos de TI para ingresar a las oficinas corporativas e intentar robar datos utilizando medios USB extraíbles.

«Al enviar a alguien en persona a la ubicación de la víctima para facilitar la intrusión, los actores SRG extraen datos a un disco duro externo o unidad USB insertada por el actor de la amenaza en la computadora de la víctima», dijo el FBI sobre la nueva escalada en las capacidades de UNC3753.

Google dijo que UNC3753 comparte superposiciones tácticas con UNC2686, un grupo de amenazas conocido anteriormente por llevar a cabo Campañas estilo BazarCall en 2021. Aunque se ha observado que el grupo implementa el ransomware LockBit Black en el pasado, se ha centrado principalmente en operaciones de extorsión desde 2022, presionando a las víctimas para que paguen o se arriesguen a que sus datos se publiquen en el sitio de filtración de datos LEAKEDDATA.

Se considera que tanto UNC3753 como UNC2686 son ramificaciones de la ahora desaparecida pandilla de ransomware Conti, y las primeras iteraciones de las campañas utilizan señuelos de cancelación de suscripción como parte de ataques de phishing de devolución de llamadas que tienen como objetivo instalar software de acceso remoto en las máquinas de las víctimas.

A partir de marzo de 2025, el equipo de hackers se ha hecho pasar por personal interno de la mesa de ayuda de TI corporativa para engañar a las víctimas para que se unan a una sesión de pantalla compartida en plataformas de comunicación empresarial como Zoom, Microsoft Teams o Quick Assist, evitando efectivamente los controles de seguridad tradicionales.

«El grupo de amenazas frecuentemente inicia campañas utilizando señuelos de correo electrónico benignos con temas de facturas enviados desde cuentas de correo electrónico de consumidores controladas por actores», dijo Google. «Estos mensajes no contienen enlaces activos ni archivos adjuntos maliciosos. En cambio, normalmente contienen un mensaje breve y genérico. El objetivo principal de estos correos electrónicos es establecer un pretexto, lo que genera preocupaciones de seguridad interna del objetivo para que sea más susceptible a llamadas de voz de seguimiento».

Una vez que se establece una sesión, los atacantes intentan establecer un punto de apoyo persistente guiando a las víctimas para que instalen software de escritorio remoto legítimo como AnyDesk, Bomgar, SuperOps RMM o Zoho Assist. Las instrucciones para instalar estos programas se comparten a través de un servicio legítimo llamado «nota privada[.]com,» que permite a los usuarios enviar notas que se autodestruyen después de ser leídas por el destinatario.

También se ha observado que UNC3753 establece sesiones de Zoom directamente en las computadoras portátiles personales de los objetivos para acceder a la infraestructura de escritorio virtual (VDI) corporativa y profundizar en los sistemas de archivos corporativos con el objetivo de enumerar directorios locales y en la nube, rastrear unidades de red mapeadas y recopilar datos de carpetas altamente confidenciales, incluidas aquellas relacionadas con declaraciones de impuestos, auditorías, acuerdos con clientes corporativos y números de Seguro Social (SSN).

En la etapa final, los datos capturados se envían a los actores de la amenaza a través de WinSCP o Rclone, o a direcciones de correo electrónico controladas por el actor de la amenaza desde el buzón de correo del objetivo. A continuación, los atacantes envían una demanda de extorsión en forma de mensaje de correo electrónico, normalmente dentro de los 30 minutos posteriores a la salida del entorno de destino.

Los mensajes de correo electrónico dan a las víctimas un plazo de tres días para iniciar negociaciones de rescate. También amenazan con llamar y enviar correos electrónicos directamente a los empleados y clientes externos para notificarles sobre la violación de datos si no responden, sin mencionar publicar toda la información robada en el sitio de fuga de datos.

«Las firmas de servicios legales representan objetivos de alto valor para los actores de extorsión. Mantienen depósitos concentrados de archivos de transacciones de clientes, planes de fusiones y adquisiciones, secretos comerciales de clientes e informes regulatorios corporativos extremadamente sensibles», dijo Google.

«Los grupos de amenazas reconocen que las entidades legales están sujetas a una fuerte exposición regulatoria y de reputación y pueden estar muy motivadas para resolver situaciones de extorsión silenciosamente para proteger su posición profesional. Los actores de amenazas reconocen que apuntar al elemento humano -específicamente usando ingeniería social guiada por voz- les permite eludir fácilmente perímetros técnicos robustos, puertas de enlace de seguridad web y configuraciones de MFA».

Google el martes desvelado una nueva característica opcional de Android llamada Registro de intrusiones para almacenar registros forenses para analizar mejor los ataques sofisticados de software espía.

Registro de intrusiones, disponible como parte de Modo de protección avanzadapermite «un registro forense persistente y que preserva la privacidad para permitir la investigación de los dispositivos en caso de sospecha de un compromiso», dijo la compañía.

El artículo, añadió, fue desarrollado en colaboración con Amnistía Internacional y Reporteros Sin Fronteras. Según un documento de ayuda compartido por Google, registra las actividades del dispositivo y de la red a diario, incluida información sobre el comportamiento del dispositivo y las diversas aplicaciones que se ejecutan en él.

Los tipos de actividades registradas se enumeran a continuación:

• Actividad de la aplicación (por ejemplo, cuando se inicia un proceso de aplicación)
• Instalaciones, actualizaciones y desinstalaciones de aplicaciones
• Conexiones de red como iniciar y detener Wi-Fi, Bluetooth, búsquedas de DNS y direcciones IP
• Transferencias de archivos hacia o desde el dispositivo a través de USB
• Cambios en los certificados del sistema.
• Cuando el dispositivo está bloqueado o desbloqueado

Google también señaló que los datos de registro están cifrados de extremo a extremo por el dispositivo y se almacenan en los servidores de Google. Las claves de cifrado están protegidas por la contraseña de la cuenta de Google y las credenciales de bloqueo de pantalla, lo que significa que ningún tercero, incluido el propio Google, puede acceder a los registros, aparte del propietario del dispositivo.

«Al almacenar los datos en un servidor seguro, ni siquiera el malware instalado en el teléfono inteligente puede acceder a ellos, eliminarlos o manipularlos», Reporteros sin Fronteras dicho. «El cifrado de extremo a extremo también garantiza que ni Google ni los actores estatales puedan acceder a los datos. La función Intrusion Logging en particular permite la detección y el análisis forense incluso de ataques muy sofisticados y que antes eran difíciles de detectar».

Los registros cifrados se almacenan durante un período de 12 meses, tras el cual se borran automáticamente. Una vez que se habilita el registro de intrusiones, un usuario no puede eliminar los registros antes de la ventana de vencimiento de 12 meses, incluso si la cuenta está cerrada o la función está desactivada. Los usuarios tienen la opción de descargar los registros sin conexión, si prefieren conservarlos durante períodos más prolongados.

Dicho esto, Google ha enfatizado que una vez que los registros se descargan y descifran, los usuarios son responsables de su seguridad. «En ciertos entornos legales o regulatorios, es posible que la ley le exija que proporcione acceso a sus datos descifrados o a sus credenciales de seguridad», señaló.

Otra cosa a tener en cuenta al habilitar la función es que también registra eventos de red generados durante la navegación de incógnito en Chrome, como búsquedas de DNS y conexiones IP, ya que opera a nivel del sistema y no distingue entre los modos de navegación. En otras palabras, cualquiera que tenga acceso a los registros descifrados puede obtener qué sitios web se visitaron, pero no puede inferir páginas específicas de esos sitios.

La motivación detrás del registro de intrusiones es que una persona de alto riesgo, que sospecha que puede haber sido atacada por herramientas de vigilancia avanzadas debido a quiénes son y qué hacen, puede compartir el registro de actividad con expertos en seguridad confiables para un examen detallado.

Los registros se pueden descargar navegando a la aplicación Configuración y luego tocando Seguridad y privacidad -> Protección avanzada -> Registro de intrusiones -> Registros de acceso. Actualmente, la función se está implementando en todos los dispositivos que ejecutan la actualización de Android del 16 de diciembre y versiones posteriores.

«Con Intrusion Logging, Google es el primer proveedor importante que aborda de forma proactiva el desafío de detectar ataques avanzados en dispositivos», dijo Donncha Ó Cearbhaill, jefe del Laboratorio de Seguridad de Amnistía Internacional. dicho en un comunicado. «Al poner a disposición de los investigadores más datos forenses consensuados, podemos hacer la vida más difícil a los atacantes y ayudar a la sociedad civil a exigir responsabilidades cuando sus dispositivos son atacados ilegalmente por software espía y herramientas de extracción de datos móviles».

Otras funciones de privacidad y seguridad llegarán a Android

Además del registro de intrusiones, Google ha anunciado una serie de mejoras de privacidad y seguridad, incluidas llamadas financieras verificadas, una nueva función de protección contra suplantación de llamadas telefónicas para combatir ataques en los que los estafadores se hacen pasar por bancos para engañar a los usuarios para que revelen datos confidenciales o transfieran fondos.

Cuando los usuarios reciben una llamada que parece ser de un banco participante, Android solicita a la aplicación de banca en línea instalada que confirme si realmente están intentando comunicarse con el cliente. Si la aplicación confirma que no se está realizando tal cosa, el sistema finaliza automáticamente la llamada.

«Su banco o institución financiera también puede designar números como sólo entrantes, lo que significa que nunca los usan para llamar a los clientes», dijo Google. «Las llamadas entrantes de estos números finalizarán directamente». Se espera que la función esté disponible en dispositivos Android 11+ con Revolut, Itaú y Nubank en las próximas semanas, antes de expandirse a más bancos a finales de este año.

Otros cambios notables se enumeran a continuación:

• Ampliar la detección de amenazas en vivo para emitir advertencias sobre comportamientos sospechosos de aplicaciones, incluido el reenvío de SMS y las superposiciones de accesibilidad que suelen utilizar los troyanos bancarios de Android para robar credenciales.
• Evaluación de archivos APK descargados a través de Chrome en Android en busca de malware conocido cuando la Navegación segura está habilitada antes de su instalación.
• Eliminar el acceso a la API de servicios de accesibilidad de todas las aplicaciones que no estén etiquetadas como herramientas de accesibilidad.
• Deshabilitar el desbloqueo de dispositivo a dispositivo y la compatibilidad con Chrome WebGPU.
• Agregar detección de estafas para notificaciones de chat.
• Mejora de la función Marcar como perdido de Find Hub con la capacidad de bloquear un teléfono con autenticación biométrica, evitando que los ladrones desactiven el seguimiento del dispositivo si un dispositivo está marcado como perdido. Activar Marcar como perdido también activa protecciones adicionales como ocultar configuraciones rápidas y deshabilitar nuevas conexiones Wi-Fi y Bluetooth.
• Reducir la cantidad de veces que un tercero con acceso físico a un dispositivo puede adivinar el PIN o la contraseña, además de implementar tiempos de espera más largos entre intentos fallidos.
• Mejorar la recuperación del dispositivo al hacer que se pueda acceder al número IMEI de un dispositivo a través de la pantalla de bloqueo en dispositivos con Android 12 o superior.
• Mejores controles de privacidad que permiten a los usuarios compartir su ubicación precisa temporalmente para tareas específicas mientras una aplicación específica está abierta y brindan acceso a contactos específicos a una aplicación de terceros, en lugar de compartir toda la libreta de direcciones.
• Presentamos AISeal con pKVM para el aislamiento en el dispositivo, respaldado por hardware, del procesamiento de datos relacionados con la inteligencia artificial (IA).
• Ampliar la transparencia binaria en Android para garantizar la integridad mediante la verificación de compilaciones oficiales y un libro de contabilidad público para aplicaciones auténticas de Google y API de GMS fundamentales.
• Ocultar contraseñas de un solo uso (OTP) de SMS de la mayoría de las aplicaciones durante tres horas para bloquear el robo de OTP por parte de aplicaciones maliciosas a las que se les ha otorgado el permiso de SMS.
• Brindar a los operadores la capacidad de desactivar 2G de forma predeterminada para proteger a los clientes de las vulnerabilidades de la tecnología heredada.
• Reforzar la protección de datos mediante la introducción criptografía poscuántica para protegerse contra futuras amenazas.
• incorporando controles de usuario explícitos para activar y desactivar funciones completas, barreras de seguridad y transparencia al usar Gemini en Android.

«Al mejorar las protecciones contra estafas bancarias y ampliar protecciones potentes como Live Threat Detección y Android Advanced Protection, garantizamos que Android siga siendo la plataforma más segura», afirmó Eugene Liderman, director de seguridad y privacidad de Android.