Una de las herramientas más útiles de Windows se está utilizando como caballo de Troya en una campaña global de ciberataques. Se trata de Asistencia Rápida, el programa que permite compartir pantalla y brindar soporte remoto, que ahora es explotado por ciberdelincuentes para ingresar a empresas y desplegar el temido ransomware Black Basta.
¿Cómo funciona el engaño?
El grupo criminal conocido como Storm-1811 está utilizando técnicas de vishing (llamadas falsas) para hacerse pasar por soporte técnico. Contactan a empleados desprevenidos fingiendo ser parte del equipo de IT o de Microsoft. Una vez ganada la confianza, solicitan acceso mediante Asistencia Rápida. Cuando la víctima acepta, el ataque comienza:
• Instalan herramientas de control remoto como ScreenConnect o NetSupport Manager.
• Inyectan malware como QakBot o Cobalt Strike.
• Finalmente, despliegan Black Basta, cifrando toda la red y exigiendo millones en rescate.
¿Qué impacto tuvo?
En menos de un mes, se han detectado múltiples ataques en todo el mundo. Según fuentes del sector, en Argentina ya se reportaron casos en dos empresas de software y una institución médica. El común denominador: empleados confiados, acceso remoto permitido y protocolos de seguridad relajados.
¿Qué dice Microsoft?
Microsoft reconoció el problema y emitió un comunicado oficial. Aclaran que no se trata de una vulnerabilidad en el software, sino de un abuso por parte de atacantes que manipulan a sus víctimas. En respuesta, la empresa:
• Agregó mensajes de advertencia en Asistencia Rápida.
• Publicó recomendaciones de seguridad para usuarios y empresas.
• Sugirió deshabilitar la herramienta en entornos donde no se use activamente.
“La ingeniería social sigue siendo el método más efectivo para ingresar a las redes. No es el software, es la manipulación”, advierten expertos de Microsoft.
¿Cómo protegerse?
• Capacitación: Enseñar a los empleados a desconfiar de llamadas inesperadas o urgentes.
• Verificación: Confirmar cualquier solicitud de acceso por otros medios (mail corporativo, chat interno, etc.).
• Restricción: Desactivar herramientas de acceso remoto si no se utilizan.
• Supervisión: Usar software de monitoreo para detectar accesos inusuales.
Reflexión final
Este incidente nos recuerda que no siempre es un código el que falla. A veces, es la confianza humana. Las empresas no solo deben invertir en firewalls y antivirus, sino también en algo igual de importante: conciencia digital.
