Security

Detección de IT workers infiltrados con Defender

3 min de lectura

Resumen

Microsoft ha detallado estrategias de detección para identificar actores de amenazas alineados con Corea del Norte que se hacen pasar por contrataciones remotas de IT para infiltrarse en las organizaciones. La guía se centra en correlacionar señales de HR SaaS, identidad, correo electrónico, conferencias y Microsoft 365 para que los equipos de seguridad y RR. HH. detecten candidatos sospechosos antes y después de la incorporación.

¿Necesita ayuda con Security?Hablar con un experto

Introducción

Microsoft está advirtiendo a las organizaciones sobre una amenaza en crecimiento: falsos trabajadores remotos de IT que usan identidades robadas o fabricadas para ser contratados y obtener acceso legítimo a sistemas corporativos. Para los equipos de seguridad que administran Microsoft 365, Defender e integraciones SaaS, esto importa porque el ataque comienza en procesos normales de RR. HH. y puede convertirse rápidamente en un incidente de identidad y seguridad de datos.

Qué hay de nuevo

La guía más reciente de Microsoft explica cómo los defensores pueden detectar esta actividad a lo largo de todo el ciclo de contratación, con Jasper Sleet citado como un ejemplo conocido de esta táctica.

Detección previa al reclutamiento en Workday

Microsoft observó un uso sospechoso de endpoints de Workday Recruiting Web Service expuestos a través de sitios externos de empleo. Los comportamientos clave incluyen:

  • Acceso repetido a endpoints de API hrrecruiting/*
  • Llamadas a APIs de solicitud de empleo, currículum y cuestionarios
  • Varias cuentas externas que muestran el mismo patrón de acceso repetitivo
  • Actividad originada desde infraestructura conocida de actores de amenazas

Con el conector de Workday de Microsoft Defender for Cloud Apps, las organizaciones pueden rastrear estas llamadas API, identificar cuentas externas y comparar la actividad con inteligencia de amenazas.

Investigación durante la fase de reclutamiento

Durante las entrevistas y la gestión de documentos, los defensores deben correlacionar señales adicionales como:

  • Intercambios de correo sospechosos con los equipos de contratación
  • Mensajes externos en Teams desde direcciones IP o cuentas de riesgo
  • Actividad en Zoom o Cisco Webex mediante conectores de Defender for Cloud Apps
  • Actividad de DocuSign relacionada con cartas de oferta desde fuentes sospechosas

Esto ayuda a los equipos de seguridad y RR. HH. a detectar candidatos fraudulentos en etapas más tempranas del proceso.

Monitoreo de identidad y SaaS tras la contratación

Una vez contratada la persona, el riesgo aumenta porque el actor recibe una cuenta legítima. Microsoft observó casos en los que inicios de sesión de nuevas contrataciones en Workday y cambios en nómina provenían de infraestructura maliciosa conocida. Después del onboarding, los defensores deben vigilar:

  • Alertas de impossible travel en cuentas de nuevas contrataciones
  • Acceso desde proxies anónimos o ubicaciones inusuales
  • Actividad de búsqueda y descarga en Teams, SharePoint, OneDrive y Exchange Online
  • Patrones inusuales de acceso a datos durante las primeras semanas o meses de empleo

Por qué esto importa para los administradores de IT

Esto no es solo un problema de RR. HH. Una contratación fraudulenta puede eludir muchas defensas perimetrales tradicionales porque recibe credenciales válidas y acceso aprobado. Los equipos de seguridad necesitan visibilidad en sistemas de RR. HH., Entra ID, Microsoft 365 y herramientas de colaboración de terceros para detectar este comportamiento a tiempo.

Próximos pasos recomendados

  • Revisar la telemetría de API de Workday para detectar actividad repetida de hrrecruiting/*
  • Habilitar y validar conectores de Defender for Cloud Apps para Workday, Zoom, Webex y DocuSign cuando corresponda
  • Investigar comunicaciones sospechosas relacionadas con candidatos y cuentas externas
  • Supervisar de cerca las identidades de nuevas contrataciones para detectar impossible travel, uso de proxy y acceso anómalo a Microsoft 365
  • Coordinar investigaciones entre RR. HH. y seguridad ante eventos sospechosos durante el onboarding

Las organizaciones con programas de contratación remota deben tratar los flujos de trabajo de reclutamiento como parte de su superficie de ataque de identidad e incluirlos en sus estrategias de threat hunting y detección.

¿Necesita ayuda con Security?

Nuestros expertos pueden ayudarle a implementar y optimizar sus soluciones Microsoft.

Hablar con un experto

Manténgase actualizado sobre tecnologías Microsoft

Leer el artículo original de Microsoft Defender Security Research Team and Microsoft Threat Intelligence
Microsoft DefenderWorkdayremote IT workersidentity securityDefender for Cloud Apps

Artículos relacionados

Security

Prevenir cyberattacks oportunistas: guía de Microsoft

Microsoft insta a las organizaciones a dificultar los cyberattacks oportunistas eliminando credenciales, reduciendo las superficies de ataque públicas y estandarizando patrones seguros de plataforma. La guía es especialmente relevante para equipos que ejecutan cargas de trabajo de Azure, Dynamics 365 y Power Platform a escala, donde las arquitecturas inconsistentes y los secretos expuestos pueden facilitar el movimiento lateral de los atacantes.

Security

Ataque de suplantación en Teams entre tenants

Microsoft ha detallado una cadena de intrusión operada por humanos en la que los atacantes usan chats cross-tenant de Microsoft Teams para suplantar al personal de helpdesk y engañar a los usuarios para que concedan acceso remoto mediante herramientas como Quick Assist. La campaña es relevante porque combina colaboración legítima, soporte remoto y herramientas administrativas para facilitar movimiento lateral, persistencia y exfiltración de datos mientras aparenta ser actividad normal de TI.

Security

Microsoft Defender predictive shielding frena ataques AD

Microsoft detalló cómo el predictive shielding de Defender puede contener el compromiso de dominios de Active Directory al restringir cuentas expuestas con altos privilegios antes de que los atacantes reutilicen credenciales robadas. Esta capacidad ayuda a los equipos de seguridad a reducir el movimiento lateral y cerrar la brecha de respuesta durante ataques de identidad que avanzan rápidamente.

Security

Intrusión macOS de Sapphire Sleet: claves

Microsoft Threat Intelligence detalló una campaña centrada en macOS de Sapphire Sleet que utiliza ingeniería social y falsas actualizaciones de software en lugar de explotar vulnerabilidades. La cadena de ataque se basa en la ejecución iniciada por el usuario de AppleScript y Terminal para eludir las protecciones nativas de macOS, lo que hace especialmente importantes las defensas en capas, la concienciación del usuario y la detección en endpoints.

Security

Estrategia de inventario criptográfico cuántico

Microsoft insta a las organizaciones a tratar el inventario criptográfico como el primer paso práctico hacia la preparación post-cuántica. La empresa describe un ciclo continuo de Cryptography Posture Management para ayudar a los equipos de seguridad a descubrir, evaluar, priorizar y corregir riesgos criptográficos en código, red, runtime y almacenamiento.

Security

Respuesta a incidentes de IA: cambios clave

Microsoft afirma que los principios tradicionales de respuesta a incidentes siguen aplicándose a los sistemas de IA, pero los equipos deben adaptarse al comportamiento no determinista, al daño más rápido a escala y a nuevas categorías de riesgo. La compañía destaca la necesidad de una mejor telemetría de IA, planes de respuesta multifuncionales y una remediación por fases para contener los problemas con rapidez mientras se desarrollan soluciones a largo plazo.