En TecnetOne estamos siempre atentos a las nuevas técnicas que usan los ciberatacantes para evadir defensas, y hoy queremos contarte sobre una amenaza poco común, pero muy ingeniosa: Ghost Calls.
Esta técnica no explota una vulnerabilidad, sino que aprovecha los protocolos de videollamadas de confianza —como los de Zoom y Microsoft Teams— para ocultar tráfico malicioso. Sí, leíste bien: tus herramientas de trabajo colaborativo podrían estar siendo usadas para camuflar operaciones de comando y control (C2).
Aquí te explicamos cómo funciona esta táctica, qué riesgos implica y qué puedes hacer para proteger tu entorno empresarial.
¿Qué es Ghost Calls y por qué es preocupante?
Ghost Calls es una técnica de evasión post-explotación que utiliza los servidores TURN (Traversal Using Relays around NAT), muy comunes en herramientas como Zoom y Teams, para crear canales cifrados entre el atacante y el sistema comprometido.
En lugar de atacar directamente, los cibercriminales usan la infraestructura legítima de videollamadas como túnel de comunicación, pasando completamente desapercibidos.
“El tráfico malicioso se disfraza como si fuera una simple reunión en línea más.” — resumen del investigador Adam Crosser, quien presentó esta técnica en Black Hat USA 2025.
¿Cómo funciona Ghost Calls técnicamente?
Abuso del protocolo TURN
TURN es un protocolo utilizado en servicios de VoIP, WebRTC y videollamadas, diseñado para permitir conexiones entre dispositivos que están detrás de firewalls NAT (algo muy común en redes corporativas).
Cuando tú te unes a una reunión de Zoom o Teams, tu dispositivo obtiene credenciales temporales de TURN, que se usan para enrutar tu audio y video.
Ghost Calls aprovecha estas credenciales para establecer un túnel WebRTC cifrado entre el equipo comprometido y el atacante.
Tráfico disfrazado como reuniones normales
Ese túnel puede usarse para:
- Enviar y recibir datos maliciosos.
- Realizar exfiltración de información.
- Ejecutar comandos a distancia como si el atacante estuviera dentro de la red.
Todo esto, pasando por dominios y direcciones IP legítimas de Zoom o Teams, lo cual evita que firewalls o proxies lo detecten como anómalo.
Reenvío de puertos local a través de llamadas fantasma (Fuente: Praetorian)
¿Por qué es tan difícil de detectar?
Ghost Calls funciona con herramientas y servicios que tú ya usas y en los que confías. Eso le da al atacante múltiples ventajas:
- Camuflaje perfecto: el tráfico se mezcla con reuniones reales.
- No usa dominios maliciosos: se apoya en infraestructura ya permitida en tu red.
- Usa cifrado WebRTC: lo que impide el análisis profundo del contenido (incluso con TLS inspection).
- Compatible con puertos estándar (443): lo mismo que el tráfico web legítimo.
- Alta velocidad y baja latencia: perfecto para operaciones en tiempo real como VNC.
En comparación con métodos tradicionales de C2 (lentos, evidentes y fáciles de bloquear), Ghost Calls es silencioso, rápido y altamente eficaz.
¿Qué herramientas están usando los atacantes?
El investigador Adam Crosser, de Praetorian, desarrolló una herramienta open source llamada TURNt, ya disponible en GitHub, para demostrar cómo se puede ejecutar esta técnica.
TURNt se compone de dos partes:
- Controller: corre del lado del atacante y actúa como servidor proxy SOCKS.
- Relay: se instala en la máquina comprometida y se conecta al Controller usando TURN, estableciendo un canal WebRTC.
Con esto, los atacantes pueden:
- Redirigir puertos locales y remotos.
- Realizar tunneling de tráfico VNC.
- Extraer datos en tiempo real.
- Mantener comunicación persistente sin ser detectados.
Conoce más: Microsoft Teams: Segunda caída en 3 Días
¿Esto significa que Zoom o Teams son inseguros?
No exactamente. Lo importante aquí es que Ghost Calls no explota una vulnerabilidad del software. En cambio, se aprovecha del diseño funcional de los protocolos que utilizan estas plataformas.
Es una forma de abuso de confianza: el atacante usa herramientas que ya están permitidas y habilitadas en tu red para moverse dentro de ella sin levantar sospechas.
Ambas compañías (Zoom y Microsoft) fueron contactadas para saber si planean tomar medidas preventivas, pero al momento de redactar este artículo no han emitido respuesta pública.
¿Qué riesgos tiene para tu empresa?
En un entorno empresarial como el tuyo, una técnica como Ghost Calls puede tener consecuencias graves si no estás preparado:
- Pérdida de visibilidad en la red: el tráfico malicioso se oculta dentro del flujo normal.
- Persistencia sin detección: los atacantes pueden mantener control remoto sin activar alertas.
- Exfiltración silenciosa de información sensible.
- Acceso lateral a otros sistemas dentro de la red.
Y todo esto puede ocurrir incluso si tienes firewalls, EDRs y proxies activos, porque Ghost Calls se esconde detrás del comportamiento que se considera legítimo.
Proxy SOCKS en TURNt (Fuente: Praetorian)
¿Qué puedes hacer para protegerte?
En TecnetOne, te recomendamos una combinación de medidas técnicas y operativas para hacerle frente a esta táctica avanzada:
Segmenta el tráfico WebRTC
Limita el tráfico WebRTC a dispositivos y usuarios autorizados, especialmente si no todos lo necesitan para su trabajo diario.
Revisa el uso de TURN/STUN
Haz un inventario de los servidores TURN y STUN permitidos en tu red. Filtra aquellos que no provengan de proveedores confiables.
Aplica monitoreo de comportamiento de red (NDR)
Las herramientas tradicionales de monitoreo no detectan estas técnicas. Necesitas soluciones capaces de detectar patrones de tráfico sospechosos, incluso si usan canales cifrados y dominios legítimos.
Revisa sesiones interactivas sospechosas
Una sesión de videollamada que se inicia fuera de horario, sin participantes visibles o desde ubicaciones inusuales, puede ser una señal de abuso.
Usa detección basada en contexto y Zero Trust
Implementa políticas donde cada solicitud (aunque provenga de un canal confiable) sea validada por contexto: usuario, dispositivo, ubicación y comportamiento.
También podría interesarte: Hackers Norcoreanos Usan Deepfakes en Zoom para Infectar Macs
Conclusión: La confianza también se puede explotar
Ghost Calls es un ejemplo perfecto de cómo los atacantes están evolucionando para no atacar directamente lo vulnerable, sino lo confiable.
En lugar de buscar agujeros en el software, se infiltran en los mismos protocolos que usas todos los días para comunicarte.
Por eso, insistimos en que una estrategia moderna de ciberseguridad debe incluir:
- Visibilidad total del tráfico cifrado.
- Control de aplicaciones y protocolos.
- Monitoreo continuo basado en comportamiento.
- Educación del equipo de TI sobre amenazas avanzadas como esta.
Proteger tu empresa no se trata solo de tener antivirus actualizados. Se trata de entender cómo opera el atacante moderno y adelantarte con soluciones inteligentes y bien implementadas.