UNC6783 es un grupo de ciberataque que compromete proveedores BPO para acceder a datos corporativos sensibles.

¿Qué datos roban los atacantes?

Principalmente tickets de soporte, datos de clientes, información interna y credenciales corporativas.

¿Cómo acceden a los sistemas?

Mediante phishing, ingeniería social y páginas falsas que imitan sistemas de autenticación como Okta.

¿Por qué atacan proveedores BPO?

Porque actúan como puente hacia múltiples empresas, facilitando el acceso a datos de alto valor.

¿Cómo protegerse de estos ataques?

Implementando FIDO2, monitorizando accesos, bloqueando dominios falsos y auditando dispositivos MFA.

Hackers roban tickets de soporte en Zendesk para extorsionar a las Empresas | Noticias Hacking y Seguridad Informática

Un nuevo actor de amenazas identificado como UNC6783 está atacando proveedores BPO para acceder a datos críticos de grandes empresas, incluyendo tickets de soporte gestionados en plataformas como Zendesk.

Según investigadores de Google, esta campaña ya ha afectado a decenas de organizaciones en múltiples sectores.

Saber Más..

El eslabón débil de los proveedores BPO

El ataque no se dirige directamente a las grandes empresas, sino a sus proveedores de outsourcing (BPO) que gestionan procesos clave como atención al cliente o soporte técnico.

Una vez comprometido el proveedor, los atacantes pueden:

Acceder a tickets de soporte con datos sensibles
Obtener información interna de clientes y empleados
Escalar privilegios dentro de sistemas corporativos

Ingeniería social y phishing avanzado

UNC6783 utiliza tácticas altamente efectivas basadas en ingeniería social.

Entre ellas destacan:

Contacto directo con personal de soporte
Enlaces a páginas falsas que imitan portales de autenticación
Dominios diseñados para parecer legítimos (tipo Zendesk)

Estas páginas fraudulentas suelen imitar sistemas de login como Okta, facilitando el robo de credenciales.

Bypass de MFA y control de dispositivos

Uno de los aspectos más avanzados del ataque es la capacidad de evadir la autenticación multifactor (MFA).

El kit de phishing utilizado puede:

Robar contenido del portapapeles
Capturar códigos de autenticación
Registrar dispositivos del atacante como confiables

Esto permite mantener acceso persistente incluso tras cambios de contraseña.

Robo de datos y extorsión

Una vez dentro, los atacantes exfiltran grandes volúmenes de información, especialmente tickets de soporte que pueden contener:

Datos personales de clientes
Registros internos
Información técnica sensible

Posteriormente, utilizan estos datos para extorsionar a las empresas, contactando a las víctimas mediante servicios de correo cifrado.

Posible vínculo con campañas previas

Los investigadores creen que UNC6783 podría estar vinculado a un actor conocido como “Raccoon”, asociado a ataques previos contra proveedores BPO.

Incluso se han reportado supuestas brechas en grandes compañías mediante este mismo vector, lo que refuerza la peligrosidad del modelo.

Recomendaciones clave de seguridad

Para mitigar este tipo de ataques, los expertos recomiendan:

Implementar autenticación con llaves FIDO2
Monitorizar interacciones en soporte y live chat
Bloquear dominios sospechosos que imiten servicios legítimos
Auditar regularmente dispositivos registrados en MFA

El caso de UNC6783 demuestra que los atacantes están explotando cada vez más la cadena de suministro digital, donde los proveedores externos se convierten en puertas de entrada críticas.

Vistas: 5