Netcrook Logo
👤 CIPHERWARDEN
🗓️ 18 Oct 2025   🗂️ Threats    

El restablecimiento de contraseña de 400 millones de dólares: cómo una simple llamada telefónica paralizó a Clorox

Un devastador ataque demuestra que el eslabón más débil en la ciberseguridad no es el código, sino la voz humana al otro lado del servicio de asistencia.

Datos rápidos

  • En agosto de 2023, los hackers vulneraron Clorox engañando a un servicio de asistencia externo para que restableciera credenciales, sin necesidad de técnicas de hacking avanzadas.
  • El ataque provocó casi 380 millones de dólares en daños, con importantes interrupciones comerciales y costos de remediación.
  • Los atacantes, vinculados al grupo Scattered Spider, utilizaron ingeniería social, haciéndose pasar por empleados bloqueados por teléfono.
  • El robo de credenciales y los procesos de verificación débiles están detrás de casi el 45% de las principales brechas de datos, según el Informe de Investigaciones de Brechas de Datos de Verizon.
  • Los servicios de asistencia externalizados, si se gestionan mal, pueden convertirse en objetivos de alto valor que otorgan a los atacantes acceso amplio a las organizaciones.

Cuando un restablecimiento de contraseña rompe el banco

Imagina una bóveda bancaria de alto riesgo donde la combinación no es descifrada por un ladrón experto, sino entregada por una recepcionista amable tras una llamada convincente. Eso es, esencialmente, lo que le sucedió a Clorox el pasado agosto, cuando los atacantes esquivaron defensas sofisticadas y entraron por la puerta principal, armados solo con carisma y un guion.

El grupo detrás del ataque, conocido como Scattered Spider, no necesitó malware exótico ni exploits de día cero. Simplemente llamaron al servicio de asistencia gestionado por Cognizant, haciéndose pasar por empleados de Clorox bloqueados de sus cuentas. Sin las comprobaciones adecuadas, los agentes del servicio restablecieron repetidamente contraseñas y configuraciones de autenticación multifactor (MFA). Esto dio a los atacantes una plataforma para escalar privilegios, obteniendo finalmente acceso a todo el dominio y paralizando las operaciones de Clorox.

El factor humano: el truco más costoso de la ingeniería social

Los ataques de ingeniería social se aprovechan del instinto humano: la disposición a ayudar, la prisa y la rutina. Al recopilar detalles internos y sonar legítimos, los atacantes pueden presionar al personal de soporte para que ignore o relaje las reglas de seguridad. En el caso de Clorox, documentos judiciales alegan que los agentes omitieron pasos obligatorios de verificación, violando tanto el procedimiento como el contrato. ¿El resultado? Líneas de producción detenidas, pedidos procesados manualmente, envíos retrasados y una cadena de suministro sumida en el caos.

No fue la primera vez: ataques similares sacudieron a gigantes como MGM Resorts y Caesars Entertainment, ambos afectados por ingeniería social telefónica en 2023. La Agencia de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) ha advertido repetidamente que los servicios de asistencia externalizados son objetivos principales, ya que suelen tener acceso amplio y transversal a la empresa y están saturados de llamadas, lo que los hace propensos a atajos y errores.

Protegiendo el servicio de asistencia: lecciones tras el desastre

¿Por qué la externalización magnifica el riesgo? Los proveedores externos pueden controlar accesos sensibles para muchos clientes, pero sus procesos pueden quedarse atrás frente a las amenazas más recientes. Verificaciones débiles, guiones ambiguos y registros fragmentados ofrecen a los atacantes la tormenta perfecta para explotar. La brecha de Clorox resalta la urgente necesidad de:

  • Verificación de identidad robusta y fuera de banda, como devoluciones de llamada o desafíos criptográficos en lugar de preguntas fáciles de adivinar.
  • Aprobación de varias personas para restablecimientos de alto riesgo y alertas en tiempo real ante actividades sospechosas.
  • Registros inmutables e integración con herramientas de monitoreo de seguridad para detectar y contener ataques rápidamente.
  • Simulaciones regulares de ingeniería social y estándares contractuales exigidos a los proveedores, con auditorías e informes transparentes.

En última instancia, la tecnología puede ayudar, pero el verdadero desafío es construir una cultura de vigilancia. En un mundo donde una sola llamada puede costar cientos de millones, las organizaciones deben tratar cada restablecimiento de contraseña como una posible brecha y a cada agente de asistencia como la última línea de defensa.

El incidente de Clorox es una lección costosa: la seguridad no se trata solo de cortafuegos y software, sino de personas y procesos. A medida que los atacantes se vuelven cada vez más astutos, defender la primera línea digital significa empoderar - y desafiar - a quienes atienden el teléfono.

WIKICROOK

  • Ingeniería social: La ingeniería social es el uso del engaño por parte de hackers para inducir a las personas a revelar información confidencial o proporcionar acceso no autorizado a sistemas.
  • Multi: Multi se refiere al uso combinado de diferentes tecnologías o sistemas - como satélites LEO y GEO - para mejorar la fiabilidad, cobertura y seguridad.
  • Out: La verificación fuera de banda confirma la identidad utilizando un canal separado, como una llamada telefónica o un mensaje de texto, para mejorar la seguridad y prevenir accesos no autorizados.
  • Administrador de dominio: Un administrador de dominio es una cuenta altamente privilegiada con control total sobre la red informática de una organización, por lo que su seguridad es crucial.
  • Registro de auditoría inmutable: Un registro de auditoría inmutable es un historial permanente e inalterable de acciones, utilizado para detectar, investigar y prevenir actividades sospechosas o no autorizadas.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news