Cuando MGM Resorts sufrió un ciberataque devastador en 2023, los equipos forenses esperaban encontrar malware sofisticado o exploits de día cero. En cambio, inventaron algo más simple: un atacante llamó al servicio de asistencia técnica, se hizo pasar por un empleado y entregó las llaves del reino. Marks & Spencer y Harrods sufrieron ataques similares en 2025.
Este patrón revela una dura realidad: las organizaciones gastan millones de redes y puntos finales en reforzarlos mientras abandonan su punto de entrada más vulnerable: las identidades totalmente expuestas.
Lo que ha cambiado no es que los servicios de asistencia técnica sean débiles. Los equipos de seguridad lo saben desde hace años. Lo nuevo es la confluencia de dos fuerzas que han convertido una debilidad conocida en una crisis urgente.
Los servicios de asistencia garantizan que los empleados bloqueados puedan volver a trabajar lo más rápido posible. Sin embargo, la presión para recuperar la productividad crea un entorno en el que la velocidad a menudo triunfa sobre la seguridad.
Las interacciones típicas siguen un camino predecible: la persona que llama proporciona información de identificación básica, explica por qué necesita acceso y acepta las credenciales. Para un atacante que ha comprometido mínimamente LinkedIn o los sitios web de la empresa, replicar esto es trivial.
Este vector de ataque es particularmente peligroso porque elude la mayoría de los controles de seguridad, como firewalls, detección de terminales y monitoreo de red. Estas medidas son ciegas para un atacante que habla por la puerta principal con credenciales válidas emitidas por sus propios empleados.
Por qué este viejo problema exige una nueva urgencia
La inteligencia artificial ha bajado el listón de los ataques de ingeniería social. Un atacante necesita las herramientas adecuadas y la información básica para crear un daño real. El Departamento de Salud y Servicios Humanos de EE. UU. ha advertido que los adversarios están utilizando la suplantación de voz mediante IA para atacar los servicios de asistencia de los hospitales.
Aceleradas por la IA, las estafas de phishing y suplantación de identidad han aumentado en más de un 85% y la pérdida financiera promedio se ha más que duplicado de $1000 a $2060.
Al mismo tiempo, la mayoría de las organizaciones han adoptado políticas de confianza cero para el acceso a la red mientras realizan pruebas de seguridad aleatorias para probar las interacciones del servicio de asistencia. Un empleado que accede a un servidor de archivos pasa por varios pasos de verificación.
Una persona desconocida que llama y solicita al servicio de asistencia técnica que restablezca la contraseña del mismo empleado puede enfrentarse únicamente a preguntas de seguridad con respuestas disponibles en línea.
Tres mejores prácticas para la seguridad de la mesa de ayuda
El obstáculo más común para fortalecer la seguridad de la mesa de ayuda es operativo. ¿Qué pasa cuando un ejecutivo pierde su teléfono mientras viaja? ¿Qué pasa si un empleado no puede acceder legítimamente a su dispositivo registrado?
La respuesta es el protocolo de respuesta por niveles combinado con tres controles interconectados que cierran la brecha de vulnerabilidad de la mesa de ayuda:
1. Operación de identidad estricta. Cada solicitud de acceso debe activar el mismo valor de verificación. Es posible que la autenticación multifactor no sea opcional o fácil de eludir.
Implemente métodos de autenticación sin contraseña y resistentes al phishing utilizando estándares de la industria. Sin embargo, incluso los sistemas sin contraseña pueden verse comprometidos si los procesos de inscripción y recuperación de credenciales son vulnerables a la ingeniería social.
Las preguntas de seguridad basadas en información estática deberían sustituirse por una verificación dinámica que sea difícil de investigar o inferir. Realice revisiones periódicas de control de identidad para eliminar cuentas obsoletas y garantizar que ninguna identidad tenga más acceso del necesario.
2. Vincular la inscripción del dispositivo a la identidad. Cuando restablezca las credenciales o restablezca el acceso, verifique que el dispositivo receptor pertenezca a un usuario válido. Las claves de acceso vinculadas al dispositivo vinculan criptográficamente la autenticación a un dispositivo físico específico y no se pueden sincronizar ni transferir. Esto proporciona una mayor seguridad que las claves de acceso sincronizadas, que pueden transferirse entre dispositivos.
Un atacante no puede llamar, restablecer una contraseña y acceder al sistema desde un dispositivo no administrado. No es necesario que el dispositivo sea propiedad de la empresa, pero debe estar registrado y verificado como parte del perfil de identidad del usuario. Esto reduce inmediatamente la superficie de ataque si algún cambio de certificado requiere esta verificación vinculada al dispositivo.
3. Utilice la verificación bidireccional para mantener seguros tanto a los empleados como al servicio de asistencia técnica.. Ambas partes necesitan la capacidad de verificarse entre sí dependiendo de quién inicie la comunicación. Cuando un usuario se comunica con la mesa de ayuda, el agente debe verificar su identidad antes de tomar medidas.
Antes de restablecer las credenciales o otorgar acceso, utilice devoluciones de llamada a números registrados o envíe códigos de verificación a dispositivos registrados. Protege a los empleados contra atacantes suplantados, como se vio en las infracciones de MGM y Harrods. Cuando la mesa de ayuda se comunica con los usuarios, el personal debe tener una manera de verificar la validez de la comunicación antes de compartir cualquier información.
Esto protege a los empleados de estafadores que se hacen pasar por soporte de TI. Las capacidades de autenticación en ambos lados garantizan que el personal o los empleados de la mesa de ayuda no se conviertan en puntos de entrada vulnerables para los atacantes.
Respuesta escalonada
Implemente estos controles utilizando un protocolo de respuesta escalonado. Continúe con la verificación estándar para solicitudes de bajo riesgo (pista de contraseña, verificación del estado de la cuenta). Para acciones de alto riesgo (restablecimiento de certificados, cambios de permisos, inscripción de dispositivos), se requiere verificación avanzada.
Para verdaderas emergencias, establezca rutas de escalada que mantengan la seguridad. Un ejecutivo que viaja y pierde su teléfono debe comunicarse directamente con su gerente para verificarlo antes de realizar trabajo de soporte. Un empleado con un dispositivo roto debe realizar una inspección de TI en persona con identificación.
Estos controles son más efectivos cuando trabajan juntos. La verificación de identidad sin verificación de dispositivo deja lagunas, mientras que la verificación de dispositivo se puede realizar sin operaciones de identidad estrictas. Ambos sufren si los flujos de trabajo de la mesa de ayuda pasan por alto estos controles en nombre de la conveniencia.
La tecnología no sólo puede resolver un problema humano, sino que también puede hacer que el comportamiento correcto sea más fácil y el comportamiento incorrecto más difícil. Los servicios de asistencia siempre serán el objetivo porque controlan el acceso.
La pregunta es si las organizaciones mantendrán la inmunidad al compromiso como canales confiables o los reconocerán como puntos críticos de control de seguridad.
Las violaciones continuarán. Los atacantes seguirán llamando. Pero las empresas que reconocen los servicios de asistencia técnica como puntos importantes de control de identidad y los protegen en consecuencia, finalmente pueden cerrar la puerta que ha estado abierta durante demasiado tiempo.
Hemos presentado el mejor software de seguridad para terminales
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
