Isotipo Kymatio
Por qué Kymatio
Partners
Pedir Demo
Solicita demo
ES
Isotipo Kymatio
Por qué Kymatio
Partners
Español
Pide una demo
Este sitio web utiliza cookies

Usamos cookies para personalizar el contenido y los anuncios, para proporcionar funciones de redes sociales y para analizar nuestro tráfico. También compartimos información sobre el uso que hace de nuestro sitio con nuestros socios de redes sociales, publicidad y análisis, quienes pueden combinarla con otra información que les haya proporcionado o que hayan recopilado al utilizar sus servicios.

AceptoAjustes
Configuración de cookies
Kymatio utiliza cookies para mejorar su experiencia. Consulta nuestro Política de privacidad para obtener más información.
Estrictamente necesario (siempre activo)
Cookies necesarias para habilitar la funcionalidad básica del sitio web.
Aceptar todas las cookiesGuardar ajustes
Cerrar
artículos
Vishing a Okta: Por qué tu SSO no es suficiente sin una estrategia de Human Risk Management bajo NIS2
Ciberataques

Vishing a Okta: Por qué tu SSO no es suficiente sin una estrategia de Human Risk Management bajo NIS2

por
Kymatio
|
May 6, 2026

Descubre cómo los ataques de vishing vulneran Okta SSO y por qué el MFA tradicional falla. Aprende a mitigar el riesgo humano bajo NIS2 con Kymatio HRM.

EN ESTE artículo
Enlace de texto
Pedir una demo

Atacantes como ShinyHunters utilizan kits de vishing avanzado y técnicas AiTM para vulnerar entornos de SSO de Okta. El Multi-Factor Authentication (MFA) no resistente al phishing es inútil ante la ingeniería social dirigida a helpdesks. Mitigar este riesgo requiere Human Risk Management (HRM), transformando la vulnerabilidad en resiliencia organizacional.

Anatomía del Ataque: El Vishing-assisted AiTM

El vishing-assisted AiTM es una técnica de ingeniería social donde el atacante intercepta la sesión de un colaborador mediante llamadas de voz para vulnerar el SSO). En este escenario, el atacante actúa como un intermediario activo entre el colaborador y el servicio legítimo. Grupos como ShinyHunters ya han comprometido organizaciones como Betterment y Crunchbase mediante estas técnicas de ingeniería social.

Los pasos identificados en estas campañas dirigidas a sectores de Fintech y gestión de activos incluyen:

  • Reconocimiento: Identificación de aplicaciones en uso y números de teléfono reales del soporte técnico corporativo.
  • Suplantación del helpdesk: Llamadas de voz simulando ser personal de IT. Utilizan el pretexto irónico de "ayudar al usuario a configurar sus Passkeys" para capturar sus credenciales reales.
  • Kits de phishing "as-a-service": Uso de infraestructura basada en Socket.IO para el relevo de datos en tiempo real. Los paneles de control (C2) notifican a los atacantes vía Telegram.
  • Intervención en vivo: Mediante client-side scripting, el atacante puede "intercambiar pantallas" en el navegador de la víctima. Esto sincroniza visualmente el reto de Multi-Factor Authentication (MFA) legítimo con la página fraudulenta.

La Falacia de la Seguridad Técnica: Por qué el MFA tradicional falla

El Multi-Factor Authentication (MFA) basado en notificaciones push o coincidencia de números (number matching) no detiene a un atacante que guía al usuario por teléfono. El atacante simplemente instruye al colaborador sobre qué número marcar o qué notificación aceptar mientras el kit de phishing replica la interfaz.

Este proceso exacerba el fenómeno de la "MFA fatigue". El usuario, presionado por la supuesta urgencia del soporte técnico, relaja su juicio crítico. La manipulación en vivo anula las defensas de seguridad informática tradicionales, demostrando que el factor humano es el punto de falla crítico.

Para profundizar en estas amenazas de voz, consulta: Vishing & Deepfake Voice: La Guía Definitiva.

Responsabilidad Legal y Directiva: El impacto de NIS2

El éxito de estos ataques evidencia una falta de medidas técnicas y organizativas proporcionadas. Bajo el Art. 21 de la directiva NIS2, la normativa le obliga a usted como directivo a ser responsable directo de la gestión de riesgos de ciberseguridad en su organización.

Ignorar el control del riesgo humano no es una opción legal. La falta de diligencia ante la ingeniería social puede acarrear sanciones severas y responsabilidad personal para la alta dirección. La resiliencia no es solo un objetivo técnico, es un imperativo legal para la C-suite.

Más información sobre NIS2 y responsabilidad: NIS2 y la C-suite: la responsabilidad personal del CEO.

Human Risk Management (HRM): Construyendo el Firewall Humano

El Human Risk Management (HRM) es la evolución necesaria frente a la formación estática. Kymatio transforma a sus colaboradores en un Firewall Humano mediante la simulación de ataques de vishing realistas. Estas herramientas entrenan específicamente la capacidad de detección ante llamadas fraudulentas.

Prevenir un solo incidente de este tipo justifica plenamente el ROSI (Return of Security Investment). Un acceso comprometido en su SSO permite exfiltrar datos críticos de plataformas como Salesforce o ejecutar demandas de extorsión millonarias. El HRM protege su capital financiero y su reputación corporativa.

Conclusión y Recomendaciones Estratégicas

Para asegurar su infraestructura de identidad y cumplir con los estándares de NIS2, implemente estas acciones inmediatas:

  1. Migrar a métodos resistentes al phishing: Adopte autenticadores basados en dispositivos y criptografía como FIDO2, Passkeys o Okta FastPass para eliminar la dependencia de códigos manuales.
  2. Entrenar con simulaciones de vishing: Someta a sus equipos de soporte y usuarios de alta visibilidad a ejercicios de simulación de ataques de voz que repliquen las tácticas de grupos como ShinyHunters.
  3. Restringir infraestructuras de anonimización: Establezca zonas de red y listas de control de acceso en su SSO para bloquear intentos de inicio de sesión desde proxies o redes sospechosas.

¿Está tu organización preparada para resistir un ataque de vishing dirigido a su SSO? Evalúa hoy mismo tu nivel de riesgo humano con Kymatio y garantiza la continuidad de tu negocio.

Preguntas más frecuentes

artículos relacionados

Explora más artículos

Cómo diseñar una estrategia de concienciación en seguridad que logre el compromiso de la dirección
Prevencion Ciberseguridad
Cómo diseñar una estrategia de concienciación en seguridad que logre el compromiso de la dirección
por
Kymatio
|
May 7, 2026
Cómo calcular el ROI de la Gestión del Riesgo Humano: Guía Estratégica para Empresas y Startups
Glosario Ciberseguridad
Cómo calcular el ROI de la Gestión del Riesgo Humano: Guía Estratégica para Empresas y Startups
por
Kymatio
|
May 5, 2026
El sector asegurador ante el ransomware: Lecciones de Human Risk Management tras una gran brecha
Ciberataques
El sector asegurador ante el ransomware: Lecciones de Human Risk Management tras una gran brecha
por
Kymatio
|
May 4, 2026
ACTIVA TUS FIREWALLS HUMANOS

Listo para descubrir el riesgo real dentro de tu organización

Pide una demo
Conoce el riesgo real
4,8 en Capterra
Español

Suscríbete al boletín de Kymatio® y recibe consejos e insights sobre ciberseguridad directamente en tu correo.

¡Gracias! ¡Hemos recibido tu email correctamente!
¡Uy! Algo salió mal al enviar el formulario.
Servicios
HRMAssessment  & AwarenessAttack SimulationsBreach ScanDigital Wellbeing
Casos de uso
Sector públicoSector financieroSector sanitarioGrandes empresas
Sobre nosotros
Por qué KymatioConoce KymatioNuestros valoresHistorias de éxito
Recursos
BlogWebinarsWhitepapersNoticias
Contacto
ContactarLinkedInXFacebookYoutube
© 2025 Kymatio. Todos los derechos reservados.
Política de privacidad
·
Cumplimiento
·
Política de cookies
·
Aviso Legal
·
Política de IA