Si trabajas en ciberseguridad, probablemente hayas oído el viejo dicho sobre los ciberataques: «No es cuestión de si, sino de cuándo». Quizás una mejor manera de verlo sea esta: aunque la formación, la experiencia y la familiaridad con las técnicas de ingeniería social ayudan, cualquiera puede caer en una trampa bien construida. Todo el mundo, incluidos los investigadores de seguridad, tiene una vulnerabilidad que podría hacerlos susceptibles, dada la situación, el momento y las circunstancias adecuadas.
Las empresas de ciberseguridad no son inmunes en absoluto. En marzo de 2025, un empleado senior de Sophos fue víctima de un correo electrónico de phishing e introdujo sus credenciales en una página de inicio de sesión falsa, lo que provocó el bypass de la autenticación multifactorial (MFA) y que un actor malicioso intentara, sin éxito, colarse en nuestra red.
Hemos publicado un análisis de la causa raíz (RCA) externo sobre este incidente en nuestro Trust Center, en el que se profundiza en los detalles, pero el incidente planteó algunos temas más amplios e interesantes sobre los que queríamos compartir algunas reflexiones.
En primer lugar, es importante señalar que los bypasses de MFA son cada vez más comunes. A medida que la MFA se ha ido generalizando, los actores maliciosos se han adaptado y varios marcos y servicios de phishing incorporan ahora capacidades de bypass de MFA (otro argumento a favor de una mayor adopción de las claves de acceso).
En segundo lugar, compartimos los detalles de este incidente no para destacar que hemos repelido con éxito un ataque, que es nuestro trabajo diario, sino porque es un buen ejemplo de un proceso de defensa integral y ofrece algunos puntos de aprendizaje interesantes.
En tercer lugar, tres cosas fueron clave para nuestra respuesta: los controles, la cooperación y la cultura.
Controles
Nuestros controles de seguridad son por capas, con el objetivo de ser resistentes a los fallos humanos y a las elusiones de las capas anteriores. El principio rector de una política de seguridad de «defensa en profundidad» es que, cuando se elude o falla un control, deben activarse otros, proporcionando protección en la mayor parte posible de la cadena del ciberataque.
Como comentamos en el RCA correspondiente, este incidente afectó a múltiples capas: seguridad del correo electrónico, MFA, una política de acceso condicional (CAP), gestión de dispositivos y restricciones de cuentas. Aunque el autor de la amenaza eludió algunas de esas capas, se activaron los controles posteriores.
Sin embargo, lo más importante es que no nos dormimos en los laureles después del incidente. El autor de la amenaza no tuvo éxito, pero no nos felicitamos y seguimos con nuestra rutina diaria. Investigamos todos los aspectos del ataque, realizamos un análisis interno de las causas fundamentales y evaluamos el rendimiento de todos los controles implicados. Cuando se eludió un control, analizamos por qué ocurrió y qué podíamos hacer para mejorarlo. Cuando un control funcionó eficazmente, nos preguntamos qué podrían hacer los actores maliciosos en el futuro para eludirlo y, a continuación, investigamos cómo mitigar esa posibilidad.
Cooperación
Nuestros equipos internos trabajan en estrecha colaboración en todo momento, y uno de los resultados clave de ello es una cultura de cooperación, especialmente cuando hay una amenaza urgente y activa, ya sea interna o que afecte a nuestros clientes.
Sophos Labs, Managed Detection and Response (MDR), Internal Detection and Response (IDR) y nuestro equipo interno de TI trabajaron dentro de sus diferentes especialidades y áreas de experiencia para eliminar la amenaza, compartiendo información y conocimientos. De cara al futuro, estamos buscando formas de mejorar nuestras capacidades de recopilación de información y reforzar los bucles de retroalimentación, no solo a nivel interno, sino también dentro de la comunidad de seguridad en general. Una de nuestras prioridades clave es recopilar y poner en práctica la información, hacerla útil y utilizarla de forma proactiva para defender nuestros activos. Aunque respondimos eficazmente a este incidente, siempre podemos mejorar.
Cultura
Intentamos fomentar una cultura en la que el objetivo principal sea resolver el problema y garantizar la seguridad, en lugar de culpar o criticar a los compañeros por sus errores, y no reprendemos ni sancionamos a los usuarios que hacen clic en enlaces de phishing.
El empleado implicado en este incidente se sintió capaz de informar directamente a sus compañeros de que había caído en una trampa de phishing. En algunas organizaciones, es posible que los usuarios no se sientan cómodos admitiendo un error, ya sea por miedo a represalias o por vergüenza personal. Otros pueden esperar que, si ignoran un incidente sospechoso, el problema desaparezca. En Sophos, se anima a todos los usuarios, independientemente de su función y nivel de antigüedad, a informar de cualquier sospecha. Como señalamos al principio de este artículo, sabemos que cualquiera puede caer en una trampa de ingeniería social si se dan las circunstancias adecuadas.
A menudo se dice, aunque no necesariamente de forma útil, que los seres humanos son el eslabón más débil de la seguridad. Pero también suelen ser la primera línea de defensa y pueden desempeñar un papel fundamental a la hora de notificar a los equipos de seguridad, validar las alertas automáticas (o incluso alertar a los propios equipos de seguridad si fallan los controles técnicos) y proporcionar contexto e información adicionales.
Conclusión
Un atacante violó nuestro perímetro, pero una combinación de controles, cooperación y cultura hizo que sus acciones se vieran muy limitadas antes de que lo elimináramos de nuestros sistemas. Nuestra revisión posterior al incidente y las lecciones que aprendimos de él significan que nuestra postura de seguridad es más sólida y estamos preparados para el próximo intento. Al compartir de forma pública y transparente esas lecciones tanto aquí como en el RCA, esperamos que la tuya también lo sea.
