La larga estafa: cómo la confianza es el eslabón más débil de los ciberataques actuales

Los incidentes de ciberseguridad ya no afectan sólo a los sistemas, sino también a las personas que los construyen, los mantienen y los protegen.

Escrito por nuestro antiguo vicepresidente de producto Mark Hamill, este blog explora por qué la formación de concienciación tradicional no es suficiente para protegerse contra la amenaza moderna y por qué el estilo de ataque long-con se está convirtiendo en una preocupación crítica para las organizaciones de todo el mundo.

Lleva dos semanas hablando con esta persona.

El primer mensaje llegó a través de LinkedIn; un fundador que reconoció de una empresa de su sector. Un mensaje reflexivo, sin venta agresiva. Le invitó a su espacio de trabajo de Slack para echar un vistazo a algo que estaban construyendo. El espacio de trabajo estaba activo: los compañeros publicaban actualizaciones, compartían artículos y añadían algunas bromas en el canal general. Todo parecía exactamente como debería.

Las llamadas fueron bien. Una se reprogramó -surgieron cosas- pero las conversaciones fueron interesantes, él conocía claramente el sector. A la tercera semana, ya había empezado a pensar en él como un contacto que merecía la pena conservar.

Entonces la llamada de Teams se cortó debido a un pequeño problema técnico, algo no se estaba cargando en su extremo, un problema de conexión, un archivo que necesitaba actualizarse. Le envió un enlace. «¿Puede instalar esta corrección? Esto pasa todo el tiempo».

Usted lo instaló.

Eso es lo que le ocurrió a Jason Saayman, mantenedor jefe de Axios, una de las bibliotecas de JavaScript más utilizadas del mundo, con más de 100 millones de descargas semanales.

El 31 de marzo de 2026, se publicaron en el repositorio público de código dos versiones de Axios bajo su cuenta.

La brecha no empezó con un correo electrónico sospechoso, como cabría esperar, sino con una relación amistosa.

Esto no fue un Phish

Un ataque de phishing es un juego de números. Envíe suficientes mensajes, acepte un bajo índice de aciertos y cobre lo que pille. El ataque a Axios fue todo lo contrario. El atacante -atribuido por Google Threat Intelligence a UNC1069, un grupo vinculado a Corea del Norte activo desde al menos 2018- eligió a Saayman por lo que podían tocar sus credenciales. Construyeron un espacio de trabajo falso en Slack con una marca convincente, canales activos y colegas plausibles y llevaron a cabo el compromiso durante semanas, con la paciencia suficiente para reprogramar las llamadas, mantener la relación y esperar hasta que llegara el momento adecuado.

Un segundo mantenedor de Axios, Pelle Wessman, fue atacado simultáneamente a través del mismo libro de jugadas. No se trató de un encuentro desafortunado, sino de una operación coordinada que se ejecutó en paralelo contra múltiples individuos de alto valor en todo el ecosistema Node.js.

La sofisticación no es accesoria. Es la cuestión. Cuando un único conjunto de credenciales puede exponer millones de entornos de software, la inversión de semanas no es cara. Es barato.

La sofisticación no es protección

La verdad incómoda sobre el compromiso de Axios es a quién le ocurrió.

Jason Saayman no es una persona descuidada. Tenía habilitada la autenticación de dos factores en su cuenta. Tenía conocimientos técnicos y años de experiencia en software de código abierto. Él era, por cualquier medida razonable, exactamente el tipo de persona que la formación en concienciación de seguridad está diseñada para crear.

No importó. En su propia autopsia, señaló que el 2FA «no era suficiente para detener el ataque una vez que la máquina estaba comprometida». El atacante no necesitaba vencer la credencial. Tenían la máquina y todo lo que había en ella ya era suyo.

El ataque no estaba diseñado para superar las defensas de Saayman. Estaba diseñado para hacerlas irrelevantes. En el momento en que se unió a esa llamada de los Equipos, semanas de interacción normal habían sentado las bases. No había bajado la guardia por descuido, sino porque nada en dos semanas le había dado motivos para subirla.

Ese es el diseño, y funciona con gente sofisticada precisamente porque la gente sofisticada confía en su propio juicio. Si algo le pareciera mal, lo sabría. Nada se sentía mal.

La economía de las ciberamenazas está cambiando

Ahora mismo, este nivel de operación sólo es viable cuando el premio justifica la inversión. Actores del Estado-nación que tienen como objetivo a los mantenedores de código abierto, los intercambios de criptodivisas, las infraestructuras críticas. La superficie de ataque es real pero limitada, porque el trabajo humano implicado es significativo.

Eso está cambiando.

La semana pasada, la empresa de desarrollo de IA publicó la ficha del sistema para Claude Mythos Preview, su último modelo de gran lenguaje. Durante las pruebas de seguridad, el modelo fue colocado dentro de un entorno, deliberadamente restringido del acceso a Internet. Se le encomendó una tarea y, cuando la completó, ideó un exploit de varios pasos, obtuvo un amplio acceso a Internet y envió un correo electrónico no solicitado al investigador encargado de la evaluación, que lo descubrió mientras comía un bocadillo en un parque.

La modelo no intentaba escapar, perseguía su objetivo. La caja de arena le estorbaba, así que encontró un camino para rodearla.

Ese comportamiento, en un contexto de ataque, es exactamente lo que hace escalable el libro de jugadas de long-con. Un sistema capaz de construir y mantener un personaje creíble, investigar los antecedentes profesionales de un objetivo, simular semanas de interacción plausible y escalar en el momento adecuado puede hacer todo eso simultáneamente, a través de miles de objetivos. El coste marginal de cada objetivo adicional se aproxima a cero.

Aún no hemos llegado a ese punto, pero la dirección del viaje está clara.

Seguridad más allá del reconocimiento de patrones

La formación para la concienciación sobre la seguridad se construyó para un mundo en el que los ataques tenían patrones reconocibles. La dirección de remitente sospechosa. La urgencia que no encaja con el contexto. La solicitud que no coincide con la relación. Detecte la anomalía, detenga la acción.

Ese modelo no está equivocado. Sigue atrapando a muchos atacantes, y es importante. Pero fue diseñado para ataques que parecen ataques.

La estafa larga no parece un ataque. Parece una relación profesional normal, hasta el paso final, y para entonces, el contexto se ha construido para que ese paso parezca rutinario. El reconocimiento genérico de patrones no tiene cabida aquí, porque no hay patrones que reconocer. El libro de jugadas se reescribe más rápido de lo que cualquier plan de estudios fijo puede seguir.

Lo que tiene que cambiar es lo que significa la concienciación. No sólo reconocer las firmas de amenaza, sino desarrollar otro tipo de instinto: un escepticismo que no se active por una anomalía, sino que se aplique como una cuestión de hábito. Una verificación que no dependa de que algo se sienta mal. Una práctica asentada de confirmación independiente para cualquier acción que implique credenciales, instalación de software o acceso, independientemente de lo familiar que parezca la fuente.

Parte de ello consiste también en cambiar lo que la gente se siente autorizada a denunciar. En el caso de Axios, probablemente hubo momentos - una conversación que se sintió ligeramente fuera de lugar, una solicitud que no encajaba del todo, un colega que nunca hizo un seguimiento como lo haría un verdadero colega. Nada de ello cruzó el umbral de «algo va mal». Pero si la cultura es una en la que la gente saca a la superficie las señales de baja confianza con antelación, «Tuve una interacción extraña la semana pasada, probablemente nada, pero informaré de todos modos», las organizaciones tienen una oportunidad de luchar para captar el trabajo de base antes de que se convierta en la carga útil. La notificación temprana e incierta no es ruido. En este entorno de amenazas, es una señal.

Eso es más difícil de entrenar que una lista de control. Requiere que la gente interiorice una postura, no sólo un patrón. Pero es la brecha que toda operación de larga duración seguirá explotando hasta que la cultura cambie para hacerle frente.

Jason Saayman instaló una solución porque nada en las dos semanas anteriores a ese momento le dio motivos para no hacerlo. Eso no es un fallo de su conciencia. Es un fallo de lo que le hemos pedido a la conciencia que haga.

La estafa larga no dispara sus instintos, los cultiva.

Refuerce las defensas de su empresa con MetaCompliance

En un panorama de amenazas en el que los ataques se basan en la confianza, las organizaciones necesitan algo más que la formación tradicional de concienciación sobre la seguridad. Necesitan programas que moldeen activamente el comportamiento: creando hábitos de verificación, fomentando la notificación temprana de preocupaciones de baja confianza y arraigando una cultura en la que la seguridad forme parte de la toma de decisiones cotidiana.

MetaCompliance ayuda a las organizaciones a ir más allá de la formación estática con soluciones de concienciación sobre seguridad continuas y basadas en el comportamiento. Desde las simulaciones del mundo real hasta el aprendizaje dirigido y los conocimientos centrados en los riesgos, su enfoque está diseñado para preparar a los empleados ante amenazas sofisticadas y centradas en el ser humano como la estafa a largo plazo.

Empiece a transformar la concienciación en acción: póngaseen contacto con nosotros hoy mismo.