Investigadores de Proofpoint han documentado una serie de campañas dirigidas contra transportistas y operadores logísticos en las que los atacantes toman control de sistemas corporativos, manipulan la planificación de rutas y desvían cargas reales para monetizarlas. El sector estima pérdidas anuales superiores a 30.000 millones de dólares, un volumen que ya afecta la resiliencia de las cadenas de suministro.
Vector de ataque: compromiso de load boards y suplantación de identidades
El punto de entrada inicial es la comprometida de cuentas en load boards (plataformas de intermediación de cargas). Con credenciales válidas, los atacantes publican ofertas falsas y contactan a transportistas interesados. En las respuestas insertan enlaces maliciosos camuflados como documentos de trabajo o accesos a recursos internos, explotando la confianza del proceso operativo.
Abuso de RMM legítimos para persistencia sigilosa
Al hacer clic, la víctima instala herramientas legítimas de administración remota (RMM) como Fleetdeck, LogMeIn Resolve, N-able, PDQ Connect, ScreenConnect y SimpleHelp. Estos agentes son habituales en soporte TI y, por tanto, su actividad pasa a menudo inadvertida. Este uso “living-off-the-land” de software legítimo prolonga la permanencia del adversario frente a implantes tradicionales y dificulta la detección por firmas.
Alcance y tácticas: phishing y secuestro de hilos en correo
Las campañas son oportunistas: cualquier transportista que responda a una solicitud fraudulenta es un objetivo potencial. Además del phishing, los actores inyectan enlaces en conversaciones en curso mediante buzones comprometidos, una táctica consistente con el secuestro de hilos (thread hijacking) observado en incidentes de BEC. En los últimos meses se han identificado casi dos decenas de operaciones con este patrón.
Escalada de privilegios y robo de credenciales
Tras el acceso inicial, los intrusos realizan reconocimiento, despliegan utilidades para extraer contraseñas —como WebBrowserPassView— y comprometen cuentas adicionales. El objetivo es ampliar el alcance hasta sistemas críticos: paneles de despacho, planificación de rutas y módulos de gestión de pedidos, incrementando la capacidad de manipular operaciones en tiempo real.
Del acceso digital al robo físico: desvío coordinado de mercancías
Con control sobre la infraestructura de TI del transportista, los atacantes reservan envíos en nombre de la víctima, coordinan la logística y alteran destinos desde sistemas de planificación o despacho. Las cargas valiosas se redirigen a cómplices para su reventa en línea o exportación. Este cruce entre ciberintrusión y crimen físico amplifica el impacto financiero y reputacional.
Geografía y actores: crimen organizado con conocimiento del sector
Proofpoint sitúa la mayor concentración de incidentes en Brasil, Chile, Alemania, India, México, Sudáfrica y Estados Unidos. Las campañas se asocian con grupos de crimen organizado familiarizados con procesos logísticos y servicios TI del sector, lo que explica la precisión en las maniobras de fraude y desvío.
Cronología y malware asociado
La primera oleada se observa desde junio de 2025, con infraestructura operativa al menos desde enero. Un clúster potencialmente relacionado —activo entre 2024 y marzo de 2025— se centró en transporte terrestre e incorporó infostealers y RMM como DanaBot, Lumma Stealer, NetSupport y StealC. Independientemente del payload, la meta es común: acceso remoto y exfiltración de datos.
Medidas de mitigación priorizadas para logística y transporte
Autenticación reforzada: aplicar MFA en load boards, correo y sistemas de despacho; rotación obligatoria de contraseñas y prohibición de reutilización.
Gobernanza de RMM: listas blancas de herramientas autorizadas, asignación a administradores concretos, restricciones por horario y red, registro con alertas al SOC; bloqueo de RMM no aprobados desde EDR/XDR.
Seguridad del correo: implementar DMARC, DKIM y SPF, deshabilitar el autoforwarding, detectar inyecciones de enlaces en hilos comprometidos y formar al personal en phishing y dominios homógrafos.
Controles operativos: verificación independiente de cambios de ruta o puntos de entrega por un segundo canal, revisión periódica de permisos en sistemas de planificación, segmentación de red y principio de mínimo privilegio.
La convergencia entre fraude en load boards, abuso de RMM legítimos y desvío físico de cargas demanda una respuesta integral. Adoptar MFA de manera universal, endurecer políticas de RMM, elevar la higiene del correo y establecer validaciones operativas fuera de banda reduce de forma significativa el riesgo de robo de carga y fortalece la cadena de suministro. Es momento de revisar controles, probar la detección y entrenar a los equipos antes de la próxima campaña.
