Robos digitales, carga real
El robo de mercancías en EE. UU. a empresas de logística ya no es solo físico, se ha convertido en una operación digital altamente sofisticada. Las pérdidas por carga robada crecieron 27 % en 2024 y podrían aumentar otro 22 % en 2025, llevando el daño anual estimado a 34 mil millones de dólares. Detrás de estas cifras hay redes criminales que hackean empresas de transporte para robar desde bebidas energéticas hasta artículos electrónicos de alto valor.
Una investigación reciente realizada por Proofpoint reveló en detalle cómo operan estos grupos tras infiltrarse durante más de un mes en un entorno trampa (honeypot) diseñado para poder observarlos.
La trampa, una empresa de transporte falsa
En colaboración con Deception.pro, los investigadores crearon una empresa logística ficticia en febrero de 2026.
Esto se tuvo que hacer de esta forma porque ninguna empresa real hubiera permitido dejar operar a los hackers de forma inmune, solo para observarlos. En ataques reales, las víctimas cortan el acceso rápidamente. El entorno falso permitió ver todo el ciclo del ataque sin interrupciones.
Gracias a esto, se tuvo una visibilidad completa del comportamiento, herramientas y tácticas del grupo criminal durante más de un mes.
El ataque, de plataformas de carga al robo físico
El ataque comienza en los load boards (mercados online donde se publican cargas disponibles).
Paso a paso del fraude
- Los atacantes comprometen cuentas legítimas en estas plataformas.
- Publican cargas falsas.
- Cuando un transportista responde, envían un “contrato” por email.
- El archivo adjunto contiene un script VBS malicioso.
Al ejecutarlo:
- Descarga PowerShell.
- Instala acceso remoto (ScreenConnect).
- Muestra un contrato falso para no levantar sospechas.
Luego viene lo más crítico, el robo físico.
Los atacantes:
- Eliminan reservaciones reales.
- Bloquean notificaciones del dispatcher.
- Redirigen llamadas telefónicas.
- Reservan cargas reales usando la identidad de la empresa.
El resultado de todas estas operaciones complejas es que los camiones recogen mercancía legítima, que termina en manos de los criminales.
Persistencia total con múltiples puertas traseras
Una vez dentro, los atacantes aseguran su acceso:
- Instalan 4 instancias de ScreenConnect.
- Añaden herramientas extra como:
- Pulseway
- SimpleHelp
Si una puerta se cierra, quedan otras abiertas. Esto criminales piensan como arquitectos de TI, redundancia a todos los niveles.
Malware firmado con una identidad legítima
Uno de los hallazgos más preocupantes fue el uso de una firma digital fraudulenta.
Esto hace que:
- Windows confíe en el archivo.
- Las herramientas de seguridad lo acepten.
El certificado fraudulento usado fue emitido a “STEPHEN WHANG, CPA, INC.” y ya fue revocado.
Además de carga, también buscan dinero
Tras asegurar el acceso, los criminales realizan espían las computadoras comprometidas:
- Abren la cuenta PayPal del usuario.
- Buscan wallets de criptomonedas.
Entre los objetivos detectados están:
- Bancos e instituciones financieras
- Plataformas de contabilidad y pagos
- Sistemas de tarjetas de combustible
- Software de logística y gestión de cargas
Toda la información robada se envía a bots de Telegram controlados por los atacantes.
Está claro que estos cibercriminales nos solo son expertos en tecnologia sino que tienen un conocimiento profundo de la industria y de las plataformas de software que usan estas empresas.
Un aviso serio para la industria logística
Proofpoint ha detectado casi 20 campañas similares en pocos meses.
Ahora el robo de carga ya no empieza en un almacén, empieza desde un teclado. Por eso, las empresas logísticas deben vigilar especialmente:
- Herramientas de acceso remoto no autorizadas
- Actividad sospechosa de PowerShell
- Accesos anómalos a sistemas financieros y de flota
El futuro del robo de mercancías es digital, organizado y altamente rentable. Para las empresas del sector, que no suelen invertir lo suficiente en seguridad, es algo sumamente preocupante.
Deja una respuesta