(https://i.imgur.com/cxfbZ0V.jpeg)
Un nuevo tipo de ataque cibernético híbrido está poniendo en riesgo a la industria del transporte y la logística. Según la firma de seguridad Proofpoint, actores de amenazas están lanzando campañas dirigidas contra corredores de carga, transportistas y proveedores de la cadena de suministro, utilizando correos electrónicos maliciosos y enlaces falsos para instalar herramientas de administración y monitoreo remoto (RMM).
Estas herramientas, como ScreenConnect, NetSupport o SimpleHelp, permiten a los atacantes tomar el control de sistemas empresariales, interceptar comunicaciones legítimas y robar carga física de alto valor.
Robo de carga digitalizado: el crimen físico se fusiona con el ciberataqueEl robo de carga tradicional, que solía involucrar el secuestro de camiones o la suplantación de empresas de transporte, ha evolucionado hacia una nueva modalidad digital. Los delincuentes ahora explotan vulnerabilidades tecnológicas para manipular sistemas logísticos y desviar envíos reales sin necesidad de violencia física.
La Oficina Nacional de Delitos de Seguros (NICB) estima que las pérdidas por robo de carga en Estados Unidos ascienden a más de 35 mil millones de dólares anuales. Pero con la creciente digitalización del sector, los ciberdelincuentes están encontrando nuevas oportunidades en los sistemas de gestión de flotas y plataformas de corretaje de carga.
Una campaña en expansión desde eneroLos investigadores de Proofpoint rastrearon estas operaciones hasta enero de 2025, observando un aumento significativo desde junio y más de dos docenas de campañas activas desde agosto.
Cada ataque incluye hasta mil correos electrónicos maliciosos, enviados principalmente a empresas de transporte norteamericanas, aunque también se han registrado incidentes en Brasil, México, India, Alemania, Chile y Sudáfrica.
Los atacantes utilizan cuentas comprometidas en tableros de carga para publicar listados fraudulentos o secuestran hilos de correo electrónico de corredores y despachadores legítimos. De este modo, redirigen a las víctimas a sitios web falsos que imitan portales de transporte conocidos, donde se alojan descargas de archivos ejecutables (.EXE o .MSI) que instalan software RMM.
Cómo funciona el ataque: del phishing a la intrusión totalEl proceso inicia con un correo electrónico de ingeniería social, cuidadosamente diseñado para simular una negociación urgente de carga o una comunicación rutinaria entre socios logísticos. Los ciberdelincuentes muestran un conocimiento profundo de la jerga, los procesos y la estructura de la industria, lo que genera confianza y reduce las sospechas.
Una vez que la víctima accede al enlace o descarga el archivo adjunto, se instala una herramienta RMM legítima como ScreenConnect, PDQ Connect, Fleetdeck, N-able o LogMeIn Resolve.
Estas aplicaciones, aunque diseñadas para soporte remoto, se convierten en puertas traseras que otorgan control total al atacante.
Desde ahí, los delincuentes pueden:
- Acceder al sistema del despachador o corredor.
- Modificar o eliminar notificaciones de reserva.
- Añadir sus propios dispositivos a las extensiones telefónicas corporativas.
- Reservar cargas en nombre de la empresa comprometida.
- Interceptar o redirigir envíos físicos de productos valiosos como alimentos, bebidas o electrónicos.
Proofpoint detalla que en algunos casos PDQ Connect descarga automáticamente ScreenConnect y SimpleHelp, combinando capacidades para maximizar el acceso remoto y el control del entorno.
Una vez dentro, los atacantes realizan reconocimiento de la red y despliegan herramientas como WebBrowserPassView para robar credenciales y explorar más profundamente los sistemas internos.
Colaboración entre ciberdelincuentes y crimen organizadoLos investigadores sospechan que los grupos detrás de estas operaciones colaboran con redes criminales físicas que se encargan de interceptar la carga real. La información obtenida digitalmente —rutas, horarios y tipo de mercancía— les permite seleccionar los envíos más rentables y ejecutar robos precisos y difíciles de rastrear.
Una empresa víctima relató a Proofpoint que su despachador fue engañado para instalar una de estas herramientas RMM. Los atacantes eliminaron los correos de confirmación y se adueñaron de la línea telefónica corporativa, haciéndose pasar por representantes oficiales ante los corredores y confirmando cargas falsas.
Citar"Usaron nuestro correo electrónico y número MC registrado ante la FMCSA. Cuando los corredores llamaban, ellos respondían como si fueran nosotros, verificaban todo y obtenían las cargas", explicó un representante afectado.
De esta forma, las cargas fueron secuestradas o desviadas hacia destinos no autorizados, donde los productos fueron revendidos en línea o exportados ilegalmente.
Variantes detectadas y malware complementarioAunque los ataques documentados utilizan principalmente herramientas RMM, Proofpoint identificó campañas relacionadas que implementan ladrones de información como NetSupport, DanaBot, Lumma Stealer y StealC.
Estos programas permiten robar contraseñas, cookies y datos de sesión de navegadores, lo que amplía las posibilidades del atacante para comprometer cuentas adicionales dentro del ecosistema logístico.
Sin embargo, hasta el momento no se ha podido atribuir esta actividad a un grupo o clúster específico, lo que sugiere la participación de múltiples actores oportunistas o de asociaciones criminales temporales enfocadas en obtener beneficios rápidos mediante la venta o redirección de carga.
Medidas de protección y mitigaciónProofpoint y expertos en ciberseguridad recomiendan a las empresas del sector transporte y logística implementar medidas estrictas para evitar la instalación no autorizada de software remoto y proteger sus comunicaciones corporativas. Entre las defensas sugeridas se incluyen:
- Restringir la instalación de herramientas RMM no aprobadas por el área de TI.
- Monitorear la actividad de red en busca de conexiones inusuales hacia dominios externos.
- Bloquear archivos adjuntos .EXE y .MSI en los filtros de correo electrónico.
- Implementar autenticación multifactor (MFA) en cuentas críticas.
- Capacitar al personal para reconocer intentos de phishing y correos fraudulentos.
Además, las organizaciones deben verificar cuidadosamente las solicitudes de carga o negociación, especialmente cuando provienen de cuentas o direcciones que parecen legítimas pero muestran cambios sutiles en el dominio o el formato del mensaje.
Fuente: https://www.bleepingcomputer.com/