Desde enero hasta mayo de 2026, una banda dedicada al robo de datos y extorsión ha perpetrado ataques contra decenas de bancos, despachos jurídicos y otras firmas profesionales en Estados Unidos, según el equipo de respuesta a incidentes Mandiant de Google. El grupo, conocido como UNC3753 o Luna Moth entre otros, primero emplea llamadas telefónicas falsas haciéndose pasar por soporte técnico para ganar acceso a entornos informáticos corporativos mediante técnicas de ingeniería social.
Cuando el engaño online no funciona, los delincuentes directamente visitan las oficinas de las víctimas, disfrazados de técnicos informáticos, con la intención de robar archivos utilizando dispositivos USB físicos. Esta práctica ha sido confirmada en una alerta reciente del FBI, que advierte que los atacantes aprovechan la confianza fingiendo realizar tareas de imagen de dispositivos o copias de seguridad.
Desde 2022, UNC3753 inició sus campañas con correos fraudulentos relacionados con renovaciones de software y facturas que incluían números de teléfono controlados por los criminales para establecer una primera conexión. A partir de marzo de 2025, evolucionaron hacia hacerse pasar por personal de soporte técnico, un método que se ha mostrado eficaz y rápido: en muchos casos, la operación completa de obtener acceso, localizar y sustraer datos se ha producido en menos de un día.
Los atacantes llaman directamente a empleados para afirmar que necesitan ayuda con problemas de seguridad o migraciones de datos, persuadiendo a las víctimas para que compartan su pantalla por Zoom, Microsoft Teams o herramientas similares. Una vez dentro de la red corporativa, exploran directorios y unidades, buscando archivos que contengan datos sensibles, incluyendo registros fiscales, acuerdos legales y números de Seguridad Social, que son preparados para su extracción a través de programas especializados o mediante cuentas de almacenamiento en la nube comprometidas.
Tras robar la información, envían correos de extorsión con amenazas de hacer públicos los datos, afectar relaciones comerciales y la reputación de la empresa, dando un plazo de tres días para iniciar una negociación. Las empresas afectadas deben estar alerta ante dominios falsos que simulan servicios de soporte técnico como itdesk.com o helpdesk.com, y aplicar medidas de seguridad como la verificación estricta de visitantes físicos y controlar el acceso remoto solo a dispositivos corporativos autorizados.
Google y Mandiant recomiendan procedimientos rigurosos para evitar que este tipo de ataques prosperen, incluyendo la identificación clara de técnicos en persona, supervisión constante y bloqueo de herramientas no autorizadas de acceso y soporte remoto.
