Incidentes Asociados
Un hacker utilizó IA para deepfake la voz de un empleado e irrumpió en una empresa de TI.
La violación, que atrapó a 27 clientes de la nube, ocurrió el mes pasado en Retool, una empresa que ayuda a los clientes a crear software empresarial.
El hacker inició la intrusión enviando a varios empleados de Retool mensajes de texto basados en SMS que afirmaban provenir de un miembro del equipo de TI de Retool que se estaba comunicando para resolver un problema de nómina que impedía a los empleados recibir cobertura de atención médica. La mayoría de los empleados de Retool que recibieron el mensaje de phishing se abstuvieron de responder , excepto por uno.
El empleado desprevenido hizo clic en una URL en el mensaje, que lo reenvió a un portal de Internet falso para iniciar sesión. Después de iniciar sesión en el portal, que incluía una [autenticación multifactor] (https://www.pcmag.com/how- (a/autenticación-multifactor-2fa-quién-lo-tiene-y-cómo-configurarlo), el hacker llamó al empleado mientras usaba un deepfake impulsado por IA.
"La persona que llamó afirmó ser uno de los miembros del equipo de TI y falsificó la voz real de nuestro empleado", dijo Retool en el informe. “La voz estaba familiarizada con el plano de la oficina, los compañeros de trabajo y los procesos internos de la empresa. A lo largo de la conversación, el empleado empezó a sospechar cada vez más, pero desafortunadamente le proporcionó al atacante un código de autenticación multifactor (MFA) adicional”.
El incidente sugiere que es posible que el misterioso atacante ya se haya infiltrado hasta cierto punto en Retool antes de llamar al empleado. Una vez que se entregó el código multifactor, el atacante agregó su propio dispositivo a la cuenta del empleado y giró para acceder a su cuenta de GSuite.
Retool dice que el acceso a GSuite fue especialmente devastador desde que la aplicación Authenticator de Google incorporó recientemente una [sincronización en la nube](https://www.pcmag.com/news/google-authenticator-now-syncs-your-one-time-codes-across- dispositivos) funcionan. Esto significa que sus códigos de autenticación multifactor se pueden ver en más de un dispositivo, como un teléfono inteligente y una tableta sincronizados con la cuenta.
Google agregó la sincronización en la nube para que las personas pudieran acceder a los códigos MFA en caso de pérdida o robo de su teléfono. Pero Retool señala un inconveniente clave de este enfoque: "Si su cuenta de Google está comprometida, también lo estarán sus códigos MFA".
"El hecho de que el acceso a una cuenta de Google diera acceso inmediatamente a todos los tokens MFA contenidos en esa cuenta es la razón principal por la que el atacante pudo entrar en nuestros sistemas internos", añade la empresa.
Aunque desde entonces Retool revocó el acceso del pirata informático, decidió revelar el incidente para advertir a otras empresas sobre cómo protegerse de ataques similares. "La ingeniería social es un vector de ataque muy real y creíble, y cualquiera puede convertirse en un objetivo", dice. "Si su empresa es lo suficientemente grande, habrá alguien que, sin saberlo, haga clic en un enlace y sea objeto de phishing".
La compañía también instó a Google a cambiar su aplicación de autenticación para que a las empresas les resulte más fácil desactivar la función de sincronización en la nube para sus empleados. Google no respondió de inmediato a una solicitud de comentarios.