Los hackers ya no roban solo datos: ahora asaltan camiones de forma remota. En juego, 34.000 millones de dólares.
¿Cadena de suministro? Ahora es una cadena de hackeos: los hackers simplemente piden los envíos a las propias empresas.
Los ciberdelincuentes han encontrado la manera de usar herramientas digitales para robar cargamentos reales de camiones y almacenes. Especialistas de Proofpoint informaron que desde principios de 2025 opera activamente un grupo criminal dirigido a empresas de transporte y de logística en Norteamérica. Tras acceder a los sistemas de los transportistas, los atacantes participan en licitaciones reales de transporte, ganan contratos y luego sustraen físicamente las mercancías, revendiéndolas en línea o enviándolas al extranjero.
Según Proofpoint, no se trata de ataques aislados, sino de toda una serie de campañas en las que métodos digitales sirven de cobertura para negocios criminales tradicionales. Todo comienza con ingeniería social: los atacantes hackean cuentas de corredores en plataformas especializadas donde se publican pedidos de transporte, colocan anuncios falsos y envían correos con enlaces maliciosos a los transportistas que responden al pedido falso. Otra táctica es interceptar la correspondencia real: usando cuentas robadas, insertan enlaces maliciosos en diálogos existentes. A veces también se realizan campañas masivas con mensajes de phishing dirigidos a grandes corporaciones de transporte y a corredores.
Cuando el destinatario del correo descarga un archivo, en su equipo se instala software de administración remota (RMM) —por ejemplo, ScreenConnect, SimpleHelp, PDQ Connect, Fleetdeck, N-able o LogMeIn Resolve. Estas herramientas legítimas se usan en empresas habituales para el mantenimiento de redes, por lo que los usuarios a menudo no sospechan del peligro. En algunos casos PDQ Connect descarga e inicia automáticamente otros programas, como ScreenConnect o SimpleHelp. Tras la instalación, los atacantes realizan reconocimiento de la red, recopilan credenciales con utilidades como WebBrowserPassView y profundizan el acceso a la infraestructura de la víctima.
Las herramientas RMM se están volviendo cada vez más populares en el entorno del ciberdelito. A diferencia de los programas maliciosos tradicionales, permiten actuar con más discreción: los instaladores firmados no despiertan sospechas en los antivirus y el tráfico de red parece legítimo. Con estos medios, los atacantes pueden administrar sistemas comprometidos, borrar pedidos, redirigir notificaciones de los despachadores e incluso reservar transportes en nombre de empresas reales. Proofpoint pone como ejemplo un caso en el que, mediante un esquema así, los delincuentes añadieron su dispositivo al sistema de comunicaciones del transportista, anularon viajes reales y organizaron otros nuevos, ya con fines propios.
Según los investigadores, la actividad del grupo se rastrea al menos desde junio de 2025, y su infraestructura y métodos indican una posible conexión con campañas anteriores que se remontan a enero. En el pasado Proofpoint ya registró casos similares en los que estafadores, haciéndose pasar por empresas logísticas, sustrajeron equipos médicos y productos electrónicos. Los ataques actuales probablemente descansan en la misma base, pero ahora emplean medios modernos de administración remota en lugar de troyanos clásicos como NetSupport o DanaBot.
Por la escala, los atacantes actúan de manera oportunista: las víctimas son tanto pequeñas empresas familiares como grandes transportistas. Proofpoint registró alrededor de dos decenas de campañas solo en agosto y septiembre, con volúmenes de correos que van desde unos pocos hasta mil o más. Para engañar a las víctimas, los delincuentes crean sitios que se hacen pasar por marcas conocidas o portales de transporte para ganar confianza. Su objetivo es obtener el control de las cuentas de las empresas para luego participar en licitaciones y tramitar transportes que puedan interceptar.
La magnitud de las pérdidas por estos esquemas es enorme. La Oficina Nacional de Delitos de Seguros de EE. UU. estima pérdidas anuales por robo de cargamentos en 34.000 millones de dólares. Además, 2024 registró un aumento de este tipo de delitos del 27 %, y para 2025 se prevé otro crecimiento del 22 %. Resultan especialmente vulnerables los sectores que han experimentado la transformación digital: la automatización y los sistemas electrónicos de reservas facilitan la labor de los logísticos, pero abren nuevas brechas para los delincuentes. Ahora, para robar una carga no hace falta entrar en el almacén: basta interceptar el pedido electrónico y gestionar la ruta de forma remota.
Esos esquemas no se observan solo en EE. UU. Según Munich RE, hay grandes focos de robos de cargamentos en Brasil, México, India, Alemania, Chile y Sudáfrica. Los más robados son alimentos, bebidas y productos electrónicos. Los estafadores digitales se asocian con redes criminales tradicionales que proporcionan transporte, almacenamiento y reventa de los objetos sustraídos.
Proofpoint subraya que esta ola de ataques demuestra la fusión del ciberdelito con el crimen clásico. Si antes el robo de un camión requería intervención física, ahora basta con un portátil infectado en la oficina del transportista. Los delincuentes se convierten en una suerte de «cibermensajeros» que actúan haciéndose pasar por participantes legales del mercado.
Los investigadores señalan que la lucha contra este fenómeno requiere un enfoque integral. Las organizaciones deberían restringir la instalación de cualquier herramienta RMM sin autorización de los administradores de TI, controlar el tráfico de la red y usar las reglas Emerging Threats para detectar conexiones con servidores sospechosos. También conviene prohibir la ejecución de archivos .exe y .msi recibidos por correo electrónico de remitentes externos y capacitar al personal para reconocer correos de phishing.
Proofpoint espera que la tendencia siga intensificándose: el número de ataques electrónicos vinculados a robos reales de cargamentos está creciendo y su geografía se está expandiendo. Dado que los ciberdelincuentes emplean cada vez más herramientas legítimas de administración en sus esquemas, las empresas deben prestar más atención no solo a la protección de datos, sino también a la seguridad física de las cadenas de suministro.