El service desk en el punto de mira

Cuando un atacante quiere acceder a los sistemas de una organización, no siempre necesita explotar una vulnerabilidad técnica. En muchos casos, basta con llamar al servicio de soporte y hacerse pasar por un empleado con urgencia. Esta aproximación, aparentemente simple, ha demostrado ser sorprendentemente efectiva incluso en entornos con fuertes controles perimetrales.

El service desk ocupa una posición singular dentro de la empresa: su función principal es resolver problemas con rapidez, lo que genera una presión inherente hacia la agilidad por encima de la precaución. Los técnicos de soporte están entrenados para ayudar, no para sospechar, y esa predisposición puede ser explotada con relativa facilidad.

Cómo funciona el ataque en la práctica

El esquema más habitual sigue un patrón reconocible. El adversario recopila previamente información básica sobre la víctima: nombre, cargo, departamento o incluso el nombre de su responsable directo. Esta información, accesible frecuentemente a través de LinkedIn o correos filtrados en brechas anteriores, dota al atacante de credibilidad suficiente para superar una verificación superficial.

A continuación, contacta con el servicio de soporte alegando un problema urgente —acceso bloqueado, dispositivo perdido o cambio de teléfono— y solicita un restablecimiento de contraseña o la modificación del segundo factor de autenticación. Si el proceso de verificación de identidad del service desk es débil o inconsistente, el técnico puede autorizar el cambio sin ser consciente del engaño.

El resultado: el atacante obtiene control de una cuenta legítima con todas sus credenciales de acceso, lo que le permite moverse lateralmente por la red sin levantar sospechas inmediatas.

Por qué los controles habituales no bastan

Uno de los factores que perpetúa el problema es la disparidad entre la madurez de los controles técnicos y la debilidad de los procesos humanos. Una organización puede tener autenticación multifactor robusta en todas sus aplicaciones y, sin embargo, permitir que ese segundo factor se elimine mediante una simple llamada telefónica sin verificación adicional.

Esto pone de manifiesto que la gestión de identidades no termina en la tecnología: abarca también los procedimientos que rigen quién puede modificar esas identidades y bajo qué condiciones. Sin políticas claras y verificables de confirmación de identidad, cualquier control técnico puede quedar inutilizado.

Medidas defensivas recomendadas

Reducir la exposición del service desk a estos ataques requiere actuar en varios frentes simultáneamente:

  • Verificación de identidad estandarizada: Establecer un protocolo formal y obligatorio antes de ejecutar cualquier cambio sensible —restablecimiento de credenciales, modificación de MFA, alta de dispositivos—. Este protocolo debe ser uniforme para todos los técnicos y no admitir excepciones por urgencia.

  • Autenticación fuera de banda: Siempre que sea posible, confirmar la identidad del solicitante a través de un canal independiente al utilizado para la solicitud, por ejemplo, enviando un código al correo corporativo o al dispositivo previamente registrado.

  • Formación continua orientada a escenarios reales: Los técnicos de soporte deben familiarizarse con las tácticas de persuasión que utilizan los atacantes, incluyendo el uso de información personal verosímil, la creación de urgencia artificial o la apelación a la autoridad jerárquica.

  • Registro y revisión de solicitudes sensibles: Toda operación de modificación de credenciales o factores de autenticación debería quedar registrada y someterse a revisión periódica para detectar patrones anómalos.

  • Principio de mínimo privilegio en el propio service desk: Limitar qué técnicos pueden autorizar cambios de alto impacto y requerir doble aprobación para las operaciones más críticas.

El factor humano como superficie de ataque persistente

La ingeniería social dirigida al service desk no es una amenaza nueva, pero su efectividad no ha disminuido con el tiempo. Mientras las organizaciones invierten en tecnología de detección y respuesta, el canal humano sigue siendo una puerta trasera abierta para quienes saben cómo manipular comportamientos. La solución no pasa por desconfiar de los empleados, sino por dotarles de procesos y herramientas que les permitan verificar sin fricciones y rechazar solicitudes sospechosas sin temor a represalias.


¿Estás cubierto en DefensOps?

DefensOps detecta comportamientos anómalos asociados a la manipulación de identidades y accesos mediante su motor de correlación genérico, disponible desde el plan Essential. Aunque los ataques de ingeniería social al service desk no siempre generan artefactos técnicos directos, la correlación de eventos como cambios inusuales de credenciales, accesos desde ubicaciones o dispositivos nuevos inmediatamente después de un restablecimiento de contraseña, o intentos de acceso fallidos previos a un cambio de MFA, puede revelar patrones de compromiso en fases tempranas.

Combinar la detección automatizada de DefensOps con procedimientos internos sólidos de verificación de identidad en el service desk multiplica la capacidad de respuesta ante este tipo de incidentes.

👉 Consulta los planes disponibles y solicita una demo en DefensOps


Fuente: BleepingComputer – Securing the service desk: Why social engineering attacks keep succeeding