Investigadores de seguridad pasaron recientemente un mes observando las actividades de cibercriminales dirigidos al sector del transporte y la logística, descubriendo una preocupante tendencia de robo de carga y explotación financiera habilitados por ciberataques. ### Dentro de la Operación: Una Investigación de un Mes La investigación del equipo de **Proofpoint**, como seguimiento de sus hallazgos anteriores, tuvo como objetivo comprender el manual de operaciones post-compromiso de estos actores de amenazas. Su trabajo resalta la creciente amenaza del robo de carga habilitado por ciberataques, que está estrechamente relacionado con el crimen organizado. Según **Geotab**, las pérdidas por robo de carga en América del Norte alcanzaron los $6.6 mil millones en 2025, en gran parte impulsadas por ataques digitales. "Es un problema enorme que va más allá de un solo actor o un solo país", dijo **Ole Villadsen**, uno de los investigadores de **Proofpoint**. ### Entorno de Señuelo Expone Tácticas Criminales Utilizando un entorno controlado, el equipo descargó intencionalmente un payload malicioso enviado por correo electrónico a transportistas. Esto ocurrió después de que los cibercriminales hubieran comprometido una plataforma de carga, un mercado que conecta a corredores de carga y expedidores. Al obtener acceso, los atacantes instalaron seis herramientas de acceso remoto, incluyendo múltiples instancias de **ScreenConnect**, probablemente como medida de redundancia. ### Novedosa Técnica de 'Firma como Servicio' El descubrimiento más sorprendente fue el uso de un script que consultaba automáticamente un servicio externo de firma de certificados. Esto permitió que todos los componentes instalados se firmaran con un certificado de confianza, eludiendo efectivamente las medidas de seguridad de Windows. "Esta fue una nueva capacidad que tuvimos la suerte de encontrar", dijo **Villadsen**. Cree que esta herramienta de 'firma como servicio' es una adaptación a las medidas de seguridad recientes implementadas por **ScreenConnect**, que requerían que las nuevas instancias firmaran un instalador. "Así que, en lugar de que todos intenten crear su propio certificado, podemos tener este tipo de proceso secreto de firma como servicio", explicó. "No solo se firmó el MSI [**Microsoft** Installer], sino que también salía y reemplazaba todos los archivos de componentes y los volvía a firmar. Todo estaba bastante bien pensado". ### Más Allá del Robo de Carga: Apuntamiento Financiero Los investigadores observaron que los hackers no se centraban únicamente en el robo de carga, sino que también participaban en un apunte financiero más amplio. Escanearon activamente en busca de billeteras de criptomonedas y credenciales de **PayPal**. Un script de **PowerShell** buscaba puntos de acceso a instituciones financieras, servicios de transferencia de dinero, plataformas de contabilidad en línea, plataformas de gestión de carga, plataformas de corretaje de carga y proveedores de tarjetas de combustible. "Conocen la industria del transporte muy, muy bien, sin duda, y saben cómo apuntar a ese espacio en particular", señaló **Villadsen**. "Pero también son cibercriminales, y buscan cualquier forma en que puedan monetizar una estación de trabajo en la que hayan aterrizado". ### Una Amenaza Generalizada Si bien este grupo en particular es muy activo en la infiltración de tableros de carga, son solo uno de los muchos que explotan vulnerabilidades en la industria del transporte. **Villadsen** y su equipo están rastreando aproximadamente una docena de grupos diferentes que se dirigen al sector en América del Norte y Europa. La vulnerabilidad de la industria se deriva del hecho de que la gran mayoría de los transportistas son pequeñas empresas con recursos de ciberseguridad limitados. Al apuntarles a través de los tableros de carga, los hackers pueden comprometer a numerosos transportistas simultáneamente. "Es una industria que, desafortunadamente, se presta bien a las intrusiones cibernéticas y a poder escalar el robo muy bien", concluyó **Villadsen**. <a rel="noopener" href="https://www.recordedfuture.com/?utm_source=therecord&amp;utm_medium=ad"><figure><img src="https://cms.therecord.media/uploads/2025_0514_Record_Ads_970x250_1_d144dbf901.png" data-nimg="1" decoding="async" height="500" width="1000" alt="Recorded Future"></figure></a>