Hackers de Scattered Spider secuestran redes corporativas en horas suplantando la identidad de empleados para engañar a las mesas de ayuda de TI
La Crisis de Identidad de 17.8 Mil Millones de Dólares: Cómo las Tomas de Control de VMware por Scattered Spider Señalan el Fin de la Ciberseguridad Tradicional
Un grupo avanzado de ingeniería social demuestra cómo la psicología humana, no el malware, se ha convertido en el principal vector de ataque para las operaciones de ransomware dirigidas a infraestructuras críticas.
El Grupo de Inteligencia de Amenazas de Google emitió una advertencia urgente sobre Scattered Spider, un sofisticado colectivo cibercriminal que ha perfeccionado el arte de la manipulación humana para eludir las medidas de seguridad tradicionales. La última campaña del grupo, dirigida a los sectores de infraestructura crítica, minorista, aerolíneas y seguros, representa un cambio fundamental en cómo las operaciones de ransomware logran el máximo impacto con una mínima complejidad técnica.
A diferencia de los ciberataques convencionales que dependen de la explotación de vulnerabilidades de software, Scattered Spider ha convertido en arma la debilidad más persistente en cualquier organización: la confianza humana. Su metodología implica la suplantación de identidad de empleados para manipular al personal del servicio de asistencia técnica de TI y lograr el restablecimiento de contraseñas, creando un punto de apoyo inicial que escala en cuestión de horas hasta la dominación completa de la red.
Atributos y Actividades Clave del Grupo Cibercriminal Scattered Spider
| Aspecto | Detalles |
|---|---|
| Nombre del Grupo | Scattered Spider |
| Activo desde | Al menos 2022 |
| Motivación Principal | Lucro económico |
| Sectores Objetivo | Telecomunicaciones, Minorista, Seguros, Aviación, Transporte y otros |
| Técnicas de Ataque | Ingeniería social (phishing, smishing, fatiga de MFA, intercambio de SIM), ransomware (ALPHV/BlackCat, DragonForce), robo de datos |
| Vectores de Acceso Inicial | Suplantación del servicio de asistencia de TI, implementación de herramientas de acceso remoto, robo de credenciales y códigos MFA |
| Herramientas y Técnicas | Herramientas legítimas (Mimikatz, TeamViewer), técnicas de "vivir de la tierra" (living-off-the-land), explotación de entornos en la nube (AWS, Azure) |
| Fases del Ataque | Reconocimiento, movimiento lateral, escalada de privilegios, persistencia, exfiltración, cifrado |
| Ejemplos de Impacto | Ataque a MGM Resorts que causó una interrupción de 10 días y ~100 millones de dólares en daños |
| Base Geográfica | EE. UU., Reino Unido, Canadá |
| Ventaja Lingüística/Cultural | Hablantes nativos de inglés que permiten una ingeniería social efectiva |
| Última Fuente de Inteligencia | Alertas del FBI y CISA, mapeo del marco MITRE ATT&CK, e investigación del sector privado (2023-2025) |
| Tendencias Recientes (2025) | Expansión de los sectores objetivo, investigaciones en curso del FBI y las fuerzas del |