Sin hackeo: solo llamadas y encanto — el grupo UNC3753 obtuvo datos de decenas de despachos jurídicos pidiéndoselos a sus empleados
Nueva táctica de ciberextorsionadores: del primer contacto al robo de datos en menos de una hora.
Los bufetes de abogados estadounidenses se enfrentaron a una ola inusual de ataques en los que los atacantes obtienen acceso a datos no mediante malware, sino por llamadas telefónicas convencionales. Según los datos de los especialistas de Mandiant, el grupo UNC3753 atacó en pocos meses a decenas de organizaciones de los sectores jurídico, financiero y profesional de Estados Unidos, y en algunos casos los delincuentes incluso acudieron personalmente a las oficinas de las víctimas.
La campaña se prolongó de enero a mayo de 2026. El objetivo principal de UNC3753 no es cifrar sistemas, sino robar información confidencial y exigir un rescate. Entre los datos sustraídos se encuentran documentos legales, informes financieros, datos personales de clientes y acuerdos corporativos.
El ataque suele comenzar con un correo aparentemente inofensivo enviado desde una cuenta habitual. El mensaje parece tratar la discusión de una factura o un recibo y no contiene enlaces ni adjuntos. Tras ese correo, empleados reciben llamadas de personas que se hacen pasar por personal del servicio de soporte interno. Bajo el pretexto de resolver un problema de seguridad o de participar en un proyecto de migración de datos, convencen a la víctima para que se conecte a una sesión de demostración de pantalla.
Una vez ganada la confianza, los atacantes piden ejecutar programas de acceso remoto o herramientas de colaboración, incluidas Zoom, Microsoft Teams, Quick Assist y otros servicios populares. En varios casos los empleados instalaron por su cuenta programas de administración remota como AnyDesk, Bomgar o Zoho Assist, abriendo de hecho la puerta a la red interna de la empresa.
Los especialistas señalan la gran rapidez de actuación de UNC3753. En muchos incidentes investigados el intervalo desde el primer contacto hasta el robo de datos fue de apenas unas horas. En algunos casos los delincuentes comenzaban a buscar los documentos necesarios y a preparar archivos para su extracción en menos de una hora tras obtener acceso.
Tras tomar el control del sistema, los atacantes examinan los repositorios corporativos de archivos, los directorios de red y las carpetas en la nube. Muestran especial interés por documentos fiscales, contratos con clientes, informes de auditoría, números de seguridad social y otros datos sensibles. Los archivos localizados se agrupan en directorios separados y luego se suben a servicios en la nube controlados por los atacantes o se envían por correo electrónico.
Para eludir las medidas de protección, los delincuentes emplean tanto descargas desde el navegador como herramientas especiales de transferencia de datos, como WinSCP y Rclone. En un caso extrajeron más de 16 GB de información, usando primero almacenamiento en la nube y después el escritorio remoto de la empresa.
Tras completar el robo empieza la fase de extorsión. La carta con las demandas suele llegar en el plazo de media hora tras la operación. A las empresas se les da tres días para iniciar las negociaciones. Si la dirección no responde, los atacantes amenazan con contactar a empleados, clientes y socios de la organización, así como con publicar los materiales robados en el sitio LEAKEDDATA.
Los especialistas se alarmaron especialmente cuando los ataques trascendieron el ámbito digital. Según Mandiant y la Oficina Federal de Investigación de EE. UU., personas que se hacían pasar por técnicos acudían directamente a las oficinas de las empresas. Con el pretexto de revisar el equipo o crear copias de seguridad intentaban conectar unidades externas y copiar datos directamente desde los ordenadores de trabajo.
Mandiant vincula la campaña con el grupo UNC3753, también conocido por los nombres Luna Moth, Chatty Spider y Silent Ransom Group. La actividad del grupo se rastrea al menos desde 2022. Antes los atacantes utilizaban notificaciones falsas sobre la renovación de suscripciones de software, pero aproximadamente desde marzo de 2025 comenzaron a hacerse pasar con mayor frecuencia por empleados de los servicios internos de TI.
Los especialistas advierten que los bufetes de abogados siguen siendo un objetivo especialmente atractivo para los extorsionadores debido al enorme volumen de información confidencial sobre clientes, operaciones, procesos judiciales y actividades corporativas. Los autores del informe consideran que la combinación de fraude telefónico y visitas personales demuestra una nueva etapa en la evolución de estos ataques, en la que el objetivo principal deja de ser la tecnología y pasa a ser la confianza de los empleados.
En mayo se publicó una advertencia sobre que el grupo Silent Ransom Group apuntó a bufetes de abogados mediante ingeniería social y ataques de phishing, haciéndose pasar por personal de soporte técnico. En algunos casos los atacantes enviaron supuestos empleados de TI a las oficinas de las víctimas, donde se conectaban a los ordenadores de los empleados y, mediante unidades USB o herramientas de acceso remoto, robaban datos, incluidos contratos, datos personales —como números de seguridad social—, así como documentos financieros y fiscales.