La digitalización de las cadenas de suministro ha abierto nuevas puertas a los ciberdelincuentes, que ya no necesitan interceptar físicamente un camión para hacerse con la carga. Ahora basta con comprometer sistemas, cuentas o procesos digitales.
De hecho, según datos recogidos por la Oficina Nacional de Delitos del Seguro en Estados Unidos, el robo de carga genera pérdidas anuales cercanas a los 34.000 millones de dólares, una cifra que refleja la magnitud de un fenómeno que afecta a múltiples regiones del mundo.
En este contexto, según Proofpoint, un grupo de ciberdelincuencia está llevando a cabo campañas sofisticadas dirigidas específicamente contra empresas de transporte por carretera, intermediarios de carga y operadores logísticos con el objetivo final de robar mercancías físicas a través de accesos digitales comprometidos.
Cómo se infiltran en las empresas del sector logístico
El punto de partida de estas campañas es el acceso inicial a sistemas corporativos. Los ciberdelincuentes emplean técnicas de ingeniería social y distribución de malware para introducir herramientas de monitorización y gestión remota, conocidas como RMM, dentro de las redes de las empresas.
Entre las herramientas detectadas figuran soluciones como ScreenConnect, SimpleHelp, PDQ Connect o LogMeIn Resolve.
Se trata de software legítimo utilizado habitualmente por departamentos de IT, lo que permite a los atacantes pasar desapercibidos con mayor facilidad.
Esta tendencia se alinea con una evolución más amplia del cibercrimen, donde las herramientas legítimas se utilizan como vectores iniciales de ataque.
Una vez dentro del sistema, los atacantes realizan tareas de reconocimiento, identifican credenciales y amplían su acceso. Para ello utilizan herramientas específicas de extracción de contraseñas, como WebBrowserPassView, lo que les permite moverse lateralmente dentro de la organización sin levantar sospechas.
El salto del ciberataque al robo físico de mercancía
La particularidad de este grupo reside en su capacidad para convertir un acceso digital en un robo físico. Los cibermalos no se limitan a extraer datos o cifrar sistemas, sino que utilizan la información obtenida para participar en procesos reales de transporte de mercancías.
El mecanismo es el siguiente: una vez comprometida una empresa o intermediario, los delincuentes acceden a plataformas de gestión de cargas, conocidas como load boards, donde se publican envíos disponibles. Desde ahí, pueden lanzar ofertas o aceptar encargos en nombre de la empresa comprometida.
En muchos casos, incluso publican cargas fraudulentas utilizando cuentas previamente hackeadas. Cuando un transportista responde, se inicia una cadena de ataque que puede culminar en el robo de la mercancía.
Posteriormente, estos bienes se venden en mercados secundarios o se envían al extranjero, generando beneficios directos para los grupos criminales.
Tres vectores de ataque clave
El análisis de las campañas revela tres métodos principales de distribución del ataque. El primero es el uso de cuentas comprometidas en plataformas de carga, desde donde se envían enlaces maliciosos a transportistas interesados en un envío.
El segundo vector es el secuestro de correos electrónicos corporativos. Los atacantes se infiltran en conversaciones legítimas entre empresas del sector y añaden enlaces o archivos maliciosos, aprovechando la confianza existente entre las partes.
El tercer método es la distribución masiva de correos electrónicos dirigidos a empresas logísticas, incluyendo operadores de gran tamaño. Este enfoque permite a los atacantes escalar sus operaciones y acceder a objetivos de mayor valor dentro de la cadena de suministro.
En todos los casos, el objetivo final es que la víctima descargue un archivo ejecutable o instalador que introduce la herramienta RMM en el sistema.
Un actor oportunista con conocimiento del sector
Uno de los aspectos más relevantes de estas campañas es su carácter oportunista. El grupo no parece centrarse en objetivos concretos, sino que intenta comprometer a cualquier empresa que interactúe con sus señuelos.
Esto incluye desde pequeñas empresas familiares hasta grandes operadores logísticos. La clave está en la rapidez y en la capacidad de explotar cualquier acceso obtenido. Una vez dentro, los atacantes utilizan su conocimiento del sector para identificar envíos rentables y maximizar el impacto económico.
Además, las investigaciones apuntan a posibles vínculos con redes de crimen organizado, lo que explicaría la capacidad logística necesaria para ejecutar el robo físico de mercancías tras el compromiso digital.
Un problema global impulsado por la tecnología
El auge de este tipo de ataques está directamente relacionado con la digitalización del transporte. El uso de herramientas RMM como puerta de entrada es especialmente preocupante.
Al tratarse de software legítimo, muchas soluciones de seguridad no lo detectan como amenaza, lo que permite a los atacantes operar durante más tiempo sin ser descubiertos.
Proofpoint ha identificado casi dos docenas de campañas en los últimos meses, con volúmenes que oscilan desde menos de diez mensajes hasta más de mil por operación. Este nivel de actividad refleja una industrialización del cibercrimen aplicada al sector logístico.
Impacto en las cadenas de suministro
Las consecuencias de estos ataques van más allá del robo puntual de mercancía. La manipulación de sistemas logísticos puede provocar interrupciones en la cadena de suministro, retrasos en entregas y pérdidas económicas significativas.
Además, el daño reputacional para las empresas afectadas puede ser considerable, especialmente cuando los clientes desconocen que el origen del problema ha sido un ciberataque y no una mala gestión operativa.
La combinación de ciberdelincuencia y crimen físico marca un cambio las amenazas que enfrenta el sector del transporte por carretera.
