Saltar al contenido principal
Splashtop20 years of trust
AccederPrueba gratuita
+1.408.886.7177AccederPrueba gratuita
A person typing on a laptop.

Phishing Campaign Misuses Acceso remoto: What You Should Know

Se lee en 5 minutos
Actualizado
Empieza con Splashtop
Soluciones de acceso remoto, soporte remoto y gestión de puntos finales mejor valoradas.
Prueba gratuita

Informes recientes de la industria han revelado una campaña de phishing que abusa de herramientas legítimas de RMM y acceso remoto para obtener acceso no autorizado a los sistemas de las víctimas. Splashtop fue una de las herramientas instaladas por los atacantes en esta campaña, pero es importante aclarar que este fue un caso de mal uso a través de ingeniería social, no una brecha o vulnerabilidad en Splashtop.

En este ataque, los ciberdelincuentes engañan a los destinatarios para que descarguen software de RMM y acceso remoto. Una vez instalado, el software proporciona a los hackers acceso remoto persistente al sistema, permitiéndoles operar como si fueran administradores de TI autorizados. Esta táctica permite a los atacantes eludir la detección tradicional de malware y mezclarse con la actividad legítima de la red.

Este blog explicará cómo funciona el ataque, por qué se están atacando herramientas legítimas de acceso remoto y qué puedes hacer para prevenir el mal uso en tu entorno.

Cómo Funciona el Ataque

Esta campaña de phishing sigue una secuencia clara diseñada para engañar a los destinatarios para que instalen herramientas legítimas de acceso remoto bajo el control del atacante.

1. Entrega de correo electrónico de phishing

Los atacantes envían correos electrónicos que parecen provenir de fuentes confiables, como notificaciones de compartición de archivos de Microsoft OneDrive. Estos mensajes se envían desde cuentas comprometidas de Microsoft 365, aumentando su credibilidad.

2. Alojamiento de archivos maliciosos

El enlace del correo electrónico dirige al objetivo a un instalador MSI malicioso alojado en la red de entrega de contenido (CDN) de Discord. Alojar el archivo en un servicio conocido ayuda a evadir algunos filtros de seguridad.

3. Instalación de herramientas legítimas de RMM y Acceso remoto

Cuando se ejecuta, el instalador despliega silenciosamente:

  • Splashtop Streamer

  • Agente de Atera

  • Componentes de soporte como .NET Runtime 8

Instalar más de una herramienta asegura la persistencia. Si una aplicación es detectada y eliminada, la otra aún puede proporcionar acceso.

4. Acceso y control remoto

Con las herramientas en su lugar, los atacantes pueden:

  • Acceder al sistema de forma remota

  • Mover archivos o datos

  • Ejecutar comandos como si fueran personal de TI autorizado

Por qué los atacantes usan herramientas legítimas de acceso remoto

El software de acceso remoto y RMM está diseñado para ayudar a los equipos de TI a gestionar dispositivos de forma segura, solucionar problemas de forma remota y realizar actualizaciones desde cualquier lugar. Estas mismas capacidades los hacen atractivos para los atacantes cuando se usan indebidamente:

  • Se mezcla con la actividad normal – El software es de confianza y a menudo ya está presente en muchos entornos, por lo que su instalación puede no generar sospechas inmediatas.

  • Elude la detección tradicional de malware – Las herramientas de seguridad pueden no marcar aplicaciones legítimas y firmadas digitalmente de la misma manera que lo harían con ejecutables desconocidos.

  • Otorga control total del sistema – Una vez instaladas, estas herramientas dan el mismo nivel de acceso que un administrador de TI autorizado.

  • Asegura persistencia – Desplegar más de una herramienta (como se ve en esta campaña) permite que el acceso permanezca incluso si una es eliminada.

No Causado Por un Fallo de Software

Este tipo de uso indebido no es causado por una vulnerabilidad en el software. En cambio, proviene de una ingeniería social exitosa. La mayor arma del atacante es convencer a alguien de que instale la herramienta por ellos, eludiendo los controles normales de TI.

Para que el ataque funcione, varios pasos deben alinearse:

  • Un correo electrónico de phishing persuadió al objetivo para que hiciera clic en un enlace malicioso.

  • La víctima descargó y ejecutó un instalador disfrazado.

  • El software fue instalado sin la aprobación de TI.

  • El atacante se conectó al software recién instalado.

Si alguno de estos pasos es bloqueado, el ataque falla. Por eso son esenciales las fuertes defensas contra el phishing, los controles de instalación y las medidas de seguridad de cuentas.

Prevención del abuso de Splashtop en tu entorno

Aunque el software en sí no fue explotado en esta campaña, las organizaciones pueden tomar medidas proactivas para hacer mucho más difícil que los atacantes abusen del software legítimo:

  • Restringe la instalación de software a administradores aprobados a través de políticas de gestión de dispositivos.

  • Educar a los empleados sobre cómo detectar intentos de phishing, incluidos enlaces sospechosos para compartir archivos.

  • Recordar al personal que nunca descargue ni ejecute instaladores de correos electrónicos inesperados, incluso si parecen provenir de fuentes internas.

  • Fomentar el reporte rápido de cualquier mensaje sospechoso o solicitud inesperada de acceso remoto.

Combinar estas medidas asegura que incluso si un correo de phishing se cuela, múltiples salvaguardas se interponen en el camino de un atacante para obtener acceso.

Si crees que se está haciendo un uso indebido de Splashtop en una estafa, un intento de phishing o un incidente de acceso remoto no autorizado, infórmalo a reportabuse@splashtop.com para que nuestro equipo pueda revisar la actividad.

Cómo Splashtop Ayuda a Proteger el Acceso

Splashtop incluye funciones de seguridad integradas diseñadas para dar a las organizaciones control sobre quién puede conectarse, desde dónde y bajo qué condiciones. Cuando se configuran correctamente, estas capacidades hacen mucho más difícil que los atacantes abusen de la plataforma.

Las características clave de seguridad incluyen:

  • Autenticación multifactor (MFA) para verificar la identidad del usuario antes de otorgar acceso.

  • Integración de inicio de sesión único (SSO) para el control de acceso centralizado y la aplicación de políticas de autenticación corporativa.

  • Controles de acceso basados en roles que permiten a los administradores limitar permisos según la función laboral.

  • Autenticación de dispositivos para asegurar que solo las máquinas aprobadas puedan conectarse.

  • Registro y grabación de sesiones para visibilidad sobre quién accedió a qué y cuándo.

  • Controles de despliegue granulares para restringir la instalación de Splashtop Streamer a sistemas aprobados.

Nuestro Compromiso con la Seguridad

Splashtop se toma la seguridad en serio y monitorea de cerca los informes de amenazas cibernéticas que involucran nuestros productos, incluso cuando la actividad es el resultado de un mal uso en lugar de una vulnerabilidad. Creemos que la transparencia es esencial para mantener la confianza con nuestros clientes y socios.

Nuestros equipos de seguridad e ingeniería evalúan continuamente escenarios potenciales de abuso, mejoran las capacidades de detección y proporcionan orientación para ayudar a los clientes a configurar Splashtop de manera segura. Cuando surge nueva inteligencia de amenazas, evaluamos si se necesitan cambios en las características del producto, configuraciones predeterminadas o materiales educativos para los clientes.

Cuando Splashtop es implementado y gestionado por administradores autorizados, sigue siendo una plataforma segura y confiable para el acceso remoto. Al combinar nuestras características de seguridad integradas con protecciones de endpoint y capacitación en concienciación del usuario, las organizaciones pueden reducir significativamente el riesgo de uso indebido.

Explora nuestros productos de Splashtop y ponte en contacto para saber más sobre nuestras soluciones y seguridad.

¡Empieza ahora!
Comienza tu prueba gratuita de Splashtop
Prueba gratuita


Comparte esto
Canal RSSSuscríbete

Contenido relacionado

A woman standing in a server room while working on her laptop.
Seguridad

¿Qué es la Automatización de Seguridad de TI? Herramientas, Beneficios y Mejores Prácticas

Conozca más
A desktop computer on an office desk.
Seguridad

Seguridad de Endpoint: Gestiona y Asegura Dispositivos a Través de Tu Red

Two IT professionals reviewing data on a laptop in a server room filled with tall racks of network equipment.
Seguridad

EDR vs XDR: ¿Cuál solución es la adecuada para tu empresa?

The word "security" on a computer screen.
Seguridad

¿Qué es la ciberseguridad y cómo mantiene seguras a las empresas?

Ver todos los blogs