Hackers Usan Software de Monitoreo de Empleados para Infiltrarse en Empresas y Desplegar Ransomware

Una popular herramienta de monitoreo de empleados está siendo blanco de hackers y utilizada como punto de entrada para ataques de ransomware, según un nuevo informe de la firma de ciberseguridad Huntress.

A finales de enero y principios de febrero de 2026, el equipo de Respuesta Táctica de Huntress investigó dos intrusiones en las que los atacantes combinaron Net Monitor for Employees Professional con SimpleHelp, una herramienta de acceso remoto utilizada por departamentos de TI.

Según el informe, los hackers utilizaron el software de monitoreo de empleados para acceder a los sistemas de la empresa y SimpleHelp para asegurarse de poder permanecer allí incluso si uno de los puntos de acceso era bloqueado. La actividad eventualmente derivó en un intento de despliegue del ransomware Crazy.

"Estos casos destacan una tendencia creciente de actores de amenazas que aprovechan software legítimo disponible comercialmente para mimetizarse en entornos empresariales", escribieron los investigadores de Huntress.

"Net Monitor for Employees Professional, aunque se comercializa como una herramienta de monitoreo de empleados, ofrece capacidades que rivalizan con los troyanos de acceso remoto tradicionales: conexiones inversas a través de puertos comunes, enmascaramiento de nombres de procesos y servicios, ejecución de shell integrada y la capacidad de instalarse silenciosamente a través de mecanismos estándar de instalación de Windows. Cuando se combina con SimpleHelp como canal de acceso secundario... el resultado es un punto de apoyo dual y resistente que es difícil de distinguir del software administrativo legítimo".

La empresa agregó que, si bien las herramientas pueden ser novedosas, la causa raíz sigue siendo la exposición de perímetros y la deficiente gestión de identidades, incluyendo cuentas de VPN comprometidas.

El auge del "bossware"

El uso del denominado "bossware" varía globalmente, pero está ampliamente extendido. Alrededor de un tercio de las empresas del Reino Unido utilizan software de monitoreo de empleados, según un informe del año pasado, mientras que en Estados Unidos la cifra se estima en aproximadamente el 60%.

El software se implementa comúnmente para rastrear la productividad, registrar la actividad y capturar capturas de pantalla de las pantallas de los trabajadores. Sin embargo, su uso es controversial, al igual que las afirmaciones sobre si realmente mide la productividad de los empleados o si, en cambio, evalúa en función de criterios arbitrarios como clics del ratón o correos electrónicos enviados.

Sin embargo, su popularidad convierte a estas herramientas en un vector atractivo para los atacantes. Net Monitor for Employees Professional, desarrollado por NetworkLookout, se comercializa para el seguimiento de la productividad de los empleados, pero ofrece capacidades que van más allá del monitoreo pasivo de pantallas, como conexiones de shell inverso, control remoto del escritorio, gestión de archivos y la capacidad de personalizar nombres de servicios y procesos durante la instalación.

Estas características, diseñadas para uso administrativo legítimo, pueden permitir a los actores de amenazas mimetizarse en entornos empresariales sin desplegar malware tradicional.

En el primer caso detallado por Huntress, los investigadores fueron alertados por una manipulación sospechosa de cuentas en un host, incluyendo intentos de deshabilitar la cuenta de invitado del sistema y habilitar la cuenta de administrador integrada. Se ejecutaron múltiples comandos "net" para enumerar usuarios, restablecer contraseñas y crear cuentas adicionales.

Los analistas rastrearon la actividad hasta un binario vinculado a Net Monitor for Employees, que había generado una aplicación de pseudo-terminal que permitía la ejecución de comandos. La herramienta descargó un binario de SimpleHelp desde una dirección IP externa, tras lo cual el atacante intentó alterar Windows Defender y desplegar múltiples versiones del ransomware Crazy, parte de la familia VoidCrypt.

En la segunda intrusión, observada a principios de febrero, los atacantes accedieron a través de la cuenta SSL VPN comprometida de un proveedor y se conectaron mediante el Protocolo de Escritorio Remoto a un controlador de dominio. Desde allí, instalaron el agente de Net Monitor directamente desde el sitio web del proveedor. Los atacantes personalizaron los nombres de servicios y procesos para imitar componentes legítimos de Windows, disfrazando el servicio como relacionado con OneDrive y renombrando el proceso en ejecución.

Luego instalaron SimpleHelp como canal persistente adicional y configuraron activadores de monitoreo basados en palabras clave dirigidos a billeteras de criptomonedas, exchanges y plataformas de pago, además de otras herramientas de acceso remoto. Huntress señaló que la actividad mostraba claros indicios de motivación financiera y evasión deliberada de defensas.

Network LookOut, la empresa detrás de Net Monitor for Employee, le dijo a Decrypt que el agente solo puede ser instalado por un usuario que ya tenga privilegios administrativos en el equipo donde se instalará el agente. "Sin privilegios administrativos, la instalación no es posible", afirmó por correo electrónico.

"Por lo tanto, si no desea que nuestro software sea instalado en un equipo, asegúrese de que el acceso administrativo no sea otorgado a usuarios no autorizados, ya que el acceso administrativo permite la instalación de cualquier software".

Esra no es la primera vez que hackers intentan desplegar ransomware o robar información a través de bossware. En abril de 2025, investigadores revelaron que WorkComposer, una aplicación de vigilancia laboral utilizada por más de 200.000 personas, había dejado más de 21 millones de capturas de pantalla en tiempo real expuestas en un bucket de almacenamiento en la nube sin seguridad, filtrando potencialmente datos empresariales confidenciales, credenciales y comunicaciones internas.