Alerta de vishing: Scattered Lapsus$ Hunters recluta voces femeninas para engañar a helpdesks IT
Vishing a helpdesks IT de Scattered Lapsus$ Hunters vuelve a encender las alarmas en ciberseguridad: el grupo estaría reclutando mujeres a través de Telegram para afinar su ingeniería social telefónica y aumentar su tasa de éxito al suplantar identidades frente a equipos de soporte IT. La campaña, detectada en publicaciones del 22 de febrero recopiladas por Dataminr, promete pagos de entre 500 y 1.000 dólares por llamada en función del “success and hit rate”, un indicador directo del impacto operativo de este fraude.
Según las publicaciones, las candidatas deben escribir a una cuenta de “Support”, pasar un cuestionario de selección y, si son aceptadas, operar con un guion proporcionado por el propio grupo. El objetivo implícito es estandarizar el proceso de engaño, reducir variabilidad en la interacción con helpdesks y convertir la llamada en un flujo repetible para obtener acceso.
Qué significa el “Vishing a helpdesks IT de Scattered Lapsus$ Hunters”
El vishing (voice phishing) es una modalidad de phishing por voz que se apoya en llamadas telefónicas para manipular a una víctima y lograr acciones como restablecer contraseñas, cambiar métodos de autenticación o emitir tokens de acceso. En el caso del Vishing a helpdesks IT de Scattered Lapsus$ Hunters, la pieza crítica son los helpdesks corporativos: si el atacante consigue que soporte realice un reset o valide una supuesta identidad, el siguiente paso suele ser el acceso inicial a la red y, posteriormente, el movimiento lateral y la escalada de privilegios.
Dataminr, a través de su Field Cyber Intelligence Officer Jeanette Miller-Osborn, interpreta esta búsqueda de voces femeninas como una evolución táctica “calculada”: el grupo intentaría salir del “perfil tradicional” con el que algunos helpdesks asocian llamadas sospechosas, aumentando la credibilidad percibida en interacciones de verificación.
Por qué es relevante ahora: industrialización y “crowdsourcing” del delito
El Vishing a helpdesks IT de Scattered Lapsus$ Hunters encaja en una tendencia mayor: la externalización de fases del ataque para ganar escala. En campañas previas, el mismo entorno de Telegram se ha utilizado para reclutar colaboradores con incentivos económicos, lo que reduce barreras de entrada y permite ejecutar múltiples intentos simultáneos contra diferentes organizaciones.
La lógica es clara: los helpdesks son una superficie de ataque con presión operativa (SLAs, urgencia del usuario, colas de tickets) y con procedimientos que, si no están reforzados, pueden convertirse en un “bypass humano” de controles técnicos como MFA. Esta dinámica ha llevado a agencias y equipos defensivos a reforzar el enfoque de “identity proofing” y a limitar resets y cambios sensibles cuando el canal es solo voz.
Señales técnicas de una operación orientada a credenciales
- Promesa de pago por llamada vinculada al “hit rate”, lo que sugiere un KPI basado en resultados (credenciales, resets, enrolamiento de MFA o emisión de acceso temporal).
- Uso de scripts, típico de operaciones repetibles, con control de calidad y estandarización de la narrativa.
- Foco en helpdesks IT, donde los flujos de recuperación de cuenta y soporte remoto son aprovechables si el proceso de verificación es débil.
Qué recomiendan los analistas ante este patrón de vishing
Miller-Osborn recomienda elevar la concienciación en helpdesks ante el cambio de tácticas y endurecer la verificación de identidad. Entre los mecanismos mencionados figuran la verificación secundaria interna o la validación por videollamada cuando se soliciten acciones de alto impacto (como resets de credenciales o cambios en MFA). Este tipo de medidas busca reducir el riesgo de que una interacción por voz sea suficiente para habilitar un acceso no autorizado.
Más allá de la formación, el reto para las organizaciones es técnico y de proceso: minimizar decisiones “de confianza” basadas en atributos blandos de la llamada y trasladar los puntos críticos a canales con verificación fuerte y trazabilidad.
Fuentes y contexto
La actividad se apoya en publicaciones de Telegram recopiladas por Dataminr y reportadas inicialmente por The Register. El propio grupo aseguró haber pagado “prácticamente más de 1.000 dólares” en los primeros días, una afirmación que no ha podido verificarse de manera independiente.
Para seguir marcos de referencia y guías de alta autoridad sobre técnicas de ingeniería social y mitigaciones, pueden consultarse recursos de MITRE ATT&CK y recomendaciones operativas de CISA.
En un mercado donde los atacantes buscan automatizar cada fase del acceso inicial, el Vishing a helpdesks IT de Scattered Lapsus$ Hunters subraya un punto incómodo: los controles más caros pueden caer si el proceso de soporte sigue permitiendo que una llamada bien interpretada sustituya a una verificación robusta.
