Los investigadores de Proofpoint, empresa de ciberseguridad y cumplimiento normativo, han detectado nuevamente un uso de herramientas legítimas de monitorización en remoto por parte de ciberdelincuentes para secuestrar envíos y robar bienes físicos, comprometiendo a empresas de logística y transporte por carretera.
Los atacantes consiguen infiltrarse mediante el uso de credenciales robadas para pujar por envíos legítimos y luego robarlos. Es muy probable que estas mercancías sustraídas sean vendidas online o enviadas al extranjero posteriormente, causando enormes interrupciones en las cadenas de suministro y costando millones a las empresas.
En las cadenas de ataque observadas, los atacantes comprometen cuentas de usuario, secuestran hilos de correo electrónico, publican datos de una carga falsa y, cuando el transportista responde, envían phishing para que la víctima descargue archivos maliciosos. Además del uso de ingeniería social, los ciberdelincuentes implementan software de monitorización y gestión remota (RMM), como ScreenConnect, SimpleHelp y PDQ Connect, con el objetivo de obtener acceso persistente a las cuentas y evadir su detección, de acuerdo con las investigaciones en curso de Proofpoint.
La compañía de ciberseguridad ha rastreado casi dos docenas de campañas maliciosas, desde agosto de 2025, dirigidas tanto a pequeñas empresas familiares como a grandes empresas de transporte. Aunque la investigación está relacionada con casos de robo de mercancías en Estados Unidos, es un problema a mayor escala, que tiene importantes incidencias en otros países, afectando principalmente al sector de alimentación y bebidas.
La transformación digital de las cadenas de suministro ha creado nuevas vulnerabilidades y, por tanto, más oportunidades para los ciberdelincuentes de explotar brechas en la tecnología integrada para mover cargamento de manera más eficiente. Según Proofpoint, los ciberdelincuentes parecen tener conocimiento sobre el software, los servicios y las políticas de estas cadenas de suministro, pero siempre con un mismo propósito: acceder de forma remota al objetivo para sustraer información. Asimismo, el uso de RMM detectado en estos ataques se alinea con un cambio general en el panorama del cibercrimen, donde los ciberdelincuentes adoptan cada vez más estas herramientas como carga útil de primera etapa.
“Los límites entre el cibercrimen y el robo físico se están difuminando, con atacantes explotando cadenas de suministro cada vez más digitalizadas en todo el mundo para conseguir unas ganancias económicas masivas”, señalan los investigadores de amenazas de Proofpoint. “Para defenderse de estas amenazas, recomendamos a posibles organizaciones en riesgo restringir el software RMM no aprobado, fortalecer las protecciones de los endpoints y capacitar a los empleados para que puedan identificar e informar actividades sospechosas”.
