La operación de ransomware Medusa intentó reclutar a un empleado de la BBC para obtener acceso interno a la red corporativa, ofreciendo un pago significativo a cambio. Según reportó el periodista de tecnología Joe Tidy, los actores lo contactaron mediante un mensajero cifrado y plantearon usar su dispositivo como punto de apoyo inicial para una intrusión con fines de extorsión.
Reclutamiento de insiders y uso de fatiga MFA
El interlocutor, bajo el alias Syndicate, ofreció inicialmente el 15% del rescate y luego elevó la propuesta en un 10% adicional, asegurando que la exigencia a la BBC podría alcanzar decenas de millones de dólares. Como señal de “seriedad”, prometió depositar 0,5 BTC (aprox. 55 000 USD al momento) en una cuenta de escrow de un foro clandestino antes de la operación.
Los atacantes presionaron para ejecutar un script en el portátil del empleado con el fin de consolidar el acceso. Al dilatar la conversación, el periodista recibió una avalancha de peticiones de múltiples factores en su dispositivo, una técnica conocida como MFA bombing o fatiga MFA: el agresor, con credenciales robadas, envía repetidos avisos push esperando una aprobación accidental o por agotamiento.
El intento fue reportado con rapidez al equipo de ciberseguridad de la BBC, que revocó preventivamente el acceso del empleado. Posteriormente, el presunto miembro de Medusa se disculpó por el aluvión de solicitudes MFA y mantuvo la “oferta” unos días antes de eliminar su cuenta en Signal.
Quién es Medusa y por qué busca acceso interno
Medusa opera al menos desde enero de 2021 y, de acuerdo con la CISA de Estados Unidos, ha estado vinculada a cientos de ataques contra organizaciones de infraestructura crítica. Su modelo se apoya en el post-compromise: despliegue de ransomware, exfiltración de datos y doble extorsión mediante la amenaza de publicación.
Para el acceso inicial, Medusa recurre a brokers de acceso inicial (IAB) en foros y mercados delictivos, y la cooptación de empleados es una extensión coherente de esa táctica. El acceso privilegiado desde dentro reduce el ruido en logs, mejora la probabilidad de escalada de privilegios y acelera el reconocimiento de la red, maximizando el impacto con menor riesgo operativo.
MFA bombing: por qué sigue funcionando
La fatiga MFA explota la sobrecarga de notificaciones y procesos de aprobación poco contextuales. Incidentes ampliamente documentados —como los compromisos sufridos por Uber (2022) y Cisco (2022)— mostraron que la combinación de ingeniería social y empuje masivo de solicitudes puede sortear defensas si no se aplica una verificación reforzada y controles de tasa.
Medidas de ciberseguridad para mitigar el riesgo
Refuerzo de la autenticación y defensa contra la fatiga MFA
– Active protecciones de push: number matching o códigos, contexto visible (ubicación, aplicación, IP), límites de frecuencia y bloqueo automático tras rechazos repetidos.
– Priorice factores resistentes al phishing (FIDO2/WebAuthn, llaves de hardware) y reduzca la dependencia de notificaciones push y OTP por SMS/voz.
– Aplique políticas adaptativas: verificación reforzada en accesos desde ubicaciones inusuales, “viaje imposible” e intentos fuera de horario.
Reducción del riesgo insider
– Implemente mínimo privilegio, acceso just-in-time y segmentación de red; utilice PAM para cuentas privilegiadas.
– Despliegue EDR/XDR con analítica de comportamiento para detectar picos anómalos de MFA, inicios de sesión atípicos y movimientos laterales.
– Establezca canales de denuncia confiables y formación continua frente a ingeniería social; integre escenarios de reclutamiento en ejercicios de red team y tabletop.
Preparación y respuesta ante incidentes
– Mantenga playbooks específicos para intentos de cooptación y MFA fatigue; pruebe regularmente la cadena de escalado y comunicación de crisis.
– Estandarice el aislamiento rápido de cuentas, la conservación forense de evidencias y la verificación fuera de banda de aprobaciones críticas.
El caso de la BBC subraya la mercantilización del acceso interno y la vigencia de la combinación insider + fatiga MFA. Las organizaciones que aceleren la adopción de autenticación resistente al phishing, fortalezcan la detección de anomalías y promuevan una cultura de “rechazo vigilante” —donde cualquier solicitud sospechosa se escale de inmediato a seguridad— estarán mejor posicionadas para frustrar campañas similares de ransomware y doble extorsión.
