Redacción Digital Inside España
La externalización de los servicios de soporte informático se ha extendido en los últimos años como una forma de reducir costes y mejorar la eficiencia operativa en las organizaciones. Estos acuerdos permiten a muchas compañías delegar la gestión diaria de incidencias y peticiones en proveedores especializados. La externalización del soporte informático y la sobrecarga de los helpdesk ha convertido a estos servicios en un objetivo prioritario para campañas de vishing dirigidas a empresas.
Las demandas sobre los departamentos de soporte de TI han crecido al ritmo de la expansión del teletrabajo, la adopción de nuevas herramientas de inteligencia artificial y la digitalización acelerada de procesos internos. Este incremento del volumen de solicitudes no siempre viene acompañado de los recursos humanos y tecnológicos adecuados. Desde la dirección Josep Albors, director de Investigación y Concienciación de ESET España. advierte: “Lo preocupante es que muchos de estos equipos dedican gran parte de su tiempo a resolver incidencias rutinarias, en lugar de centrarse en cuestiones críticas que impactan directamente en la seguridad o en la continuidad del negocio. Automatizar tareas y reforzar la formación es clave para que los servicios de asistencia técnica puedan cumplir su función estratégica”.
En este contexto, el vishing se ha convertido en una de las técnicas preferidas por determinados grupos de atacantes. El vishing se basa en suplantar por teléfono a empleados legítimos para convencer al personal de soporte de que restablezca credenciales, inscriba dispositivos o desactive medidas como la autenticación multifactor. A través de llamadas convincentes y apoyadas en técnicas de ingeniería social, los delincuentes tratan de que el agente de helpdesk ejecute acciones que, en manos del atacante, abren la puerta a la infraestructura corporativa.
Cuando estas operaciones tienen éxito, los accesos obtenidos equivalen prácticamente a disponer de las herramientas necesarias para moverse lateralmente por la red de la organización. El control de cuentas, dispositivos y factores de autenticación permite preparar fases posteriores del ataque, entre ellas la implantación de malware, la exfiltración de información sensible o la interrupción de servicios clave.
El riesgo se ve incrementado por la propia configuración de muchos equipos de asistencia, formados en gran medida por profesionales en las primeras etapas de su carrera y sometidos a una fuerte presión derivada del elevado volumen de peticiones. A ello se suma que algunos grupos delictivos recurren a hablantes nativos de idiomas clave o incluso a voces sintéticas para incrementar la credibilidad de sus llamadas. ESET advierte de que la combinación de equipos de soporte con poca experiencia, alta presión operativa y técnicas de ingeniería social sofisticadas incrementa significativamente el riesgo para la seguridad corporativa. La compañía insiste en que no siempre es necesario explotar vulnerabilidades técnicas: en muchos casos basta con aprovechar la confianza y la voluntad de ayudar del personal de soporte.
Desde esta perspectiva, el vishing se presenta como un recordatorio de que la seguridad corporativa debe apoyarse de forma equilibrada en tres pilares: tecnología, procesos y concienciación. La protección de las infraestructuras no puede depender únicamente de las soluciones técnicas, sino que debe integrarse en la forma de trabajar de los equipos que gestionan el día a día de los sistemas.
Cómo blindar el soporte informático externalizado
Para las organizaciones que externalizan su soporte técnico, ESET recomienda adoptar medidas preventivas y aplicar una diligencia reforzada en la selección y supervisión de sus proveedores. Para reducir la superficie de ataque, las organizaciones que externalizan el soporte deben exigir procesos estrictos de autenticación, aplicar políticas de mínimo privilegio, monitorizar la actividad del helpdesk y invertir de forma continuada en formación específica. En la práctica, esto implica verificar de manera sistemática la identidad de quien solicita ayuda mediante mecanismos como las devoluciones de llamada a números previamente registrados o el uso de códigos adicionales enviados por canales independientes, como SMS o correo electrónico.
En paralelo, se propone limitar de forma estricta lo que cada agente de soporte puede modificar, aplicando políticas de mínimo privilegio y separación de funciones. Las acciones consideradas de alto riesgo (como la desactivación de autenticación multifactor o el alta de nuevos dispositivos de acceso remoto) deberían requerir una doble validación o la intervención de un segundo nivel de soporte. La supervisión en tiempo real de la actividad del helpdesk y el mantenimiento de registros detallados contribuyen, además, a detectar intentos de fraude en el momento en que se producen y a reconstruir con precisión lo ocurrido en caso de incidente.
La formación continua es otro elemento señalado por ESET como indispensable. Los agentes de soporte necesitan entrenarse regularmente para reconocer nuevas tácticas de ingeniería social, incluidas aquellas que se apoyan en imitaciones de voz generadas con técnicas de deepfake. Las simulaciones realistas de escenarios de ataque permiten reforzar la capacidad de respuesta y homogeneizar los criterios de actuación ante solicitudes dudosas. A ello se suman controles técnicos específicos, como la detección de suplantación de llamadas (spoofing) y la protección mediante autenticación multifactor en todas las herramientas que utilizan los equipos de soporte.
Aunque gran parte de los problemas identificados en los servicios de asistencia de TI tienen que ver con factores humanos, desde ESET se subraya que la forma más eficaz de afrontarlos pasa por combinar experiencia, capacidades técnicas y procesos robustos. Medidas como el uso generalizado de autenticación multifactor, la aplicación estricta de políticas de mínimo privilegio y la adopción de soluciones de detección y respuesta se consideran elementos clave dentro de este enfoque.
En este punto, el modelo de Managed Detection and Response (MDR) se plantea como un refuerzo estratégico tanto para los proveedores de servicios gestionados (MSP) como para los equipos internos de soporte. MDR hace referencia a servicios gestionados que actúan como una extensión del departamento de seguridad, encargándose de monitorizar de forma continua las señales procedentes de la infraestructura, utilizar capacidades avanzadas (incluida la inteligencia artificial) para identificar actividad sospechosa y coordinar una respuesta rápida frente a incidentes.
Según la visión trasladada por ESET, contar con un proveedor que integre soluciones avanzadas de MDR marca la diferencia entre un enfoque puramente reactivo, centrado en apagar incendios, y una aproximación preventiva, basada en la vigilancia continua y la detección temprana. De este modo, los equipos de soporte pueden concentrarse en ayudar a los usuarios y mantener la operativa diaria, con la tranquilidad de que la seguridad no queda desatendida.
