Cómo Black Basta convirtió los datos públicos en un libro de jugadas sobre infracciones

25 de junio de 2025

$Cómo Black Basta convirtió los datos públicos en un libro de jugadas sobre infracciones$

Este blog apareció originalmente en SC Media y se publica aquí con permiso.

‍

In May 2025, leaked internal chat logs from the Black Basta ransomware group revealed how attackers used public data to profile companies, identify vulnerable infrastructure, and quietly gain access (all before launching a single malicious payload).

Su enfoque era sorprendentemente metódico. Los afiliados empezaron a utilizar herramientas como ZoomInfo para filtrar posibles objetivos en función de su tamaño, sector e ingresos. Una vez señalada una empresa como objetivo de alto valor, recurrieron a LinkedIn para trazar el organigrama y analizar las ofertas de empleo para saber qué tecnologías se utilizaban. A partir de ahí, utilizaron plataformas de enriquecimiento de contactos como RocketReach y SignalHire para recopilar direcciones de correo electrónico, al igual que haría un equipo de ventas cuando hace prospección.

Pero no se limitó a los datos de los empleados. Utilizando plataformas como Shodan y FOFA, el grupo escaneó Internet en busca de infraestructuras expuestas: portales VPN, instancias Citrix, dispositivos vulnerables como SonicWall o Fortinet, y servicios cloud como Jenkins o ESXi. En algunos casos, ya contaban con credenciales filtradas de brechas anteriores, lo que les permitía iniciar sesión sin activar ninguna alarma.

No se trataba de un exploit zero-day ni de un trabajo interno. Fue un ejemplo de libro de texto de cómo los atacantes pueden utilizar como arma la inteligencia de código abierto (OSINT).

Qué es OSINT y por qué es importante

OSINT es la práctica de recopilar y analizar información disponible públicamente para generar inteligencia procesable. Si bien es una herramienta poderosa para los equipos de ciberseguridad y los investigadores, también es una técnica a la que recurren los atacantes durante las primeras etapas de una brecha. Desde blogs de empresas y repositorios públicos hasta publicaciones en redes sociales y credenciales filtradas, la OSINT proporciona a los actores de amenazas todo lo que necesitan para comprender cómo funciona una organización y dónde podría estar expuesta.

Black Basta no inventó este método. Simplemente lo utilizaron bien y no son los únicos.

Qué buscan los atacantes

Aunque la OSINT procede de innumerables fuentes, generalmente se divide en cuatro categorías principales:

Datos personales
Los perfiles de las redes sociales, los foros públicos y las biografías de los ponentes ayudan a los atacantes a identificar a los empleados clave, la estructura orgánica y los hábitos de trabajo.
Empresa y exposición técnica
Las ofertas de empleo, los comunicados de prensa de los proveedores, los repositorios de GitHub y los registros WHOIS revelan la pila tecnológica en uso y cualquier cambio reciente que pueda introducir vulnerabilidades.
Huellas de infraestructura
Se utilizan herramientas como Shodan y FOFA para encontrar servicios expuestos a Internet (VPN, aplicaciones cloud , puertos abiertos o software obsoleto).
Credenciales filtradas
Los volcados de contraseñas de violaciones anteriores son fáciles de encontrar y a menudo se reutilizan. Los atacantes las utilizan para acceder a cuentas de forma discreta, especialmente si no se aplica la MFA.

En resumen, los atacantes combinan piezas dispersas de datos públicos en un mapa completo y preciso de su entorno, a menudo con mejor contexto que el que tienen los equipos internos.

Lo que puedes hacer hoy

Reducir su huella digital requiere esfuerzo, pero es una de las formas más eficaces de frenar a los atacantes e interrumpir el reconocimiento. Empieza por estos pasos:

Para todos:

Búscate a ti mismo con regularidad. Mira lo que aparece cuando buscas en Google tu nombre, correo electrónico o trabajos anteriores. Elimina todo lo que revele proyectos delicados, herramientas internas o datos de contacto.
Piense antes de publicar. Evita compartir fotos de la oficina, detalles técnicos o nombres de proveedores en foros públicos y plataformas sociales.
Limpia tus archivos. Elimina los metadatos de documentos e imágenes antes de compartirlos con el exterior. Herramientas como ExifTool pueden ayudarte.
Separe las cuentas de trabajo de las personales. Mantén tu vida personal en privado y limita los detalles profesionales accesibles al público.
Mantente alerta ante la ingeniería social. Si alguien se pone en contacto contigo utilizando datos extrañamente específicos, verifícalo antes de responder o hacer clic.

Para los equipos de seguridad:

Supervise los dominios similares. Establezca alertas para dominios recién registrados que imiten su marca y actúe antes de que se conviertan en armas.
Revise los controles de acceso. Limite los permisos a lo estrictamente necesario y elimine las cuentas obsoletas o las credenciales de servicio no utilizadas.
Segmente su red. Asegúrese de que los sistemas de desarrollo, producción e internos están aislados para reducir el radio de explosión de cualquier intrusión.
Simule un ataque basado en OSINT. Asigne a su equipo rojo la tarea de recopilar únicamente datos públicos y vea hasta dónde pueden llegar. Utiliza los resultados para informar sobre los controles y la formación de concienciación.

Panorama general

El Black Basta debería servir de llamada de atención. No se necesita un exploit zero-day cuando las personas y los sistemas dejan al descubierto todo lo que necesitan los atacantes. La seguridad no consiste únicamente en aplicar parches a los sistemas o desplegar el conjunto de herramientas más reciente: también se trata de concienciación, higiene digital y de dificultar a los adversarios la recopilación de la información de la que dependen. Reducir la exposición pública y detectar los primeros signos de peligro (especialmente en la identidad, la red y la cloud) no es opcional. Es la nueva base de defensa.

La plataforma Vectra AI : Cuando la prevención no es suficiente

Incluso con estos buenos hábitos, fuertes cortafuegos y defensas de punto final, los atacantes pueden encontrar maneras de eludir su seguridad. No tema, cuando la prevención por sí sola no puede detener un ataque, la plataformaVectra AI interviene. Vectra AI vigila continuamente el tráfico de red, la identidad cloud y la actividad SaaS para detectar signos sutiles de compromiso. Si un atacante elude un cortafuegos o un filtro de phishing , el análisis basado en IA de Vectra AIdetecta patrones inusuales, como una identidad de usuario válida que se autentica desde una ubicación inesperada, el acceso a recursos sensibles cloud nube o una cuenta de servicio que realiza raras llamadas a la API. Dado que se centra en la identidad y el comportamiento, Vectra AI detecta amenazas que otras defensas pasan por alto y alerta inmediatamente a los equipos de seguridad, para que puedan actuar antes de que se pierdan datos.

¿Quiere ver la plataforma en acción? Solicite una demostración.

‍

¿Quiere saber más?

Vectra AI es el líder en detección y respuesta a amenazas cloud híbrida basadas en IA de seguridad. La plataforma y los servicios de Vectra cubren la cloud pública, las aplicaciones SaaS, los sistemas de identidad y la infraestructura de red, tanto en las instalaciones como cloud. Organizaciones de todo el mundo confían en la plataforma y los servicios de Vectra para resistir el ransomware, el compromiso de la cadena de suministro, la apropiación de identidades y otros ciberataques que afectan a su organización.

Si quiere saber más, póngase en contacto con nosotros y le mostraremos exactamente cómo lo hacemos y qué puede hacer para proteger sus datos. También podemos ponerle en contacto con uno de nuestros clientes para que nos cuente directamente su experiencia con nuestra solución.

Contáctenos