No usan un portal de filtración de datos como otros grupos. En cambio, operan como una telaraña dispersa pero perfectamente funcional, basada en la ingeniería social y el phishing. Dos métodos que, por más conocidos que sean, siguen siendo extraordinariamente efectivos.
Quiénes son Scattered Spider
Este colectivo se ha hecho un nombre en el mundo del cibercrimen atacando empresas en sectores tan variados como la hostelería, tecnología, salud, aviación, minoristas y servicios financieros. Su forma de operar no responde a una lógica empresarial tradicional, sino más bien a la de un enjambre: rápido, fluido y siempre adaptativo.
Los investigadores describen su estructura como jerárquica por niveles. En la cúspide están entre dos y cuatro operadores principales que actúan como gestores de proyectos. Bajo ellos, hay afiliados y «reclutas» que prueban sus habilidades con pequeñas incursiones, buscando escalar dentro del grupo. Esto permite que haya un flujo constante de actores, haciendo a Scattered Spider tan cambiante como peligroso.
Sus ataques más notables
Scattered Spider saltó a la fama con los ataques a MGM Resorts y Caesars Entertainment en 2023. Recientemente se les atribuyen ataques a marcas como Marks & Spencer, Hawaiian Airlines, WestJet y United Natural Foods.
En total, según la firma de ciberseguridad Halcyon, el grupo ha recaudado más de 66 millones de dólares en demandas de extorsión, aunque expertos creen que la cifra real podría ser mucho mayor.
El factor humano como vía de entrada
Lo que diferencia a Scattered Spider de otras bandas es su especialización en explotar al eslabón más débil de cualquier sistema de seguridad: las personas. No necesitan vulnerabilidades técnicas si pueden convencer a alguien para que les abra la puerta.
Desde marzo de 2025, han retomado un enfoque clásico: llamadas a los servicios de soporte técnico (help desks). Solicitan restablecimientos de contraseñas o cambios en la autenticación de doble factor, usando lenguaje técnico creíble y un tono de urgencia. Muchos empleados, con el reloj marcando sus objetivos de atención al cliente, simplemente aprueban la solicitud.
Como quien se hace pasar por un repartidor para que le abran una puerta, estos atacantes logran acceso a cuentas corporativas sin usar una sola línea de código malicioso.
Herramientas y variantes de ransomware
Aunque no siempre cifran los sistemas que comprometen, cuando lo hacen emplean variantes como Akira, AlphV, Play, Qilin, RansomHub y más recientemente DragonForce. Su arsenal está siempre actualizado, adaptándose a los mecanismos de defensa que encuentran.
Este enfoque flexible los convierte en una amenaza difícil de anticipar. No hay un «modus operandi» fijo, pero sí patrones en cómo obtienen credenciales, las usan en controladores de dominio y reutilizan infraestructura.
¿Seleccionan víctimas o se adaptan al mercado?
Hay cierto debate entre los investigadores sobre si Scattered Spider escoge sectores específicos o simplemente explota empresas de outsourcing de soporte técnico, que a su vez trabajan con muchos clientes de un mismo sector.
Por ejemplo, los recientes ataques a minoristas británicos y aseguradoras en EE. UU. podrían tener un origen común: un proveedor externo de soporte comprometido.
La conexión con «The Com»
Scattered Spider es una ramificación de The Com, una red más grande con más de 1.000 miembros implicados en actividades como SIM swapping, extorsión, secuestros y hasta homicidios. Esta relación da al grupo acceso a recursos y conocimientos que otros grupos más aislados no tienen.
Las predicciones de Mandiant
La firma de ciberseguridad Mandiant ha sido clave en identificar patrones que permiten predecir ataques. Cuando observan que Scattered Spider cambia el foco a un nuevo sector, los ataques suelen confirmarse en cuestión de semanas.
Mandiant analiza el ciclo completo de intrusión: desde cómo se obtienen las credenciales, hasta el uso de herramientas específicas y la infraestructura implicada. Esta metodología ayuda a diferenciar entre ataques similares, ya que otros grupos como UNC6040 también usan la ingeniería social pero sin replicar todos estos patrones.
Una amenaza que sigue creciendo
Mientras no se desactive su red y sus líderes sigan en libertad, Scattered Spider seguirá tejiendo su telaraña sobre nuevas víctimas. Su capacidad para moverse entre sectores, adaptarse rápidamente y explotar la confianza humana hace que cada llamada telefónica a un help desk pueda ser el inicio de un nuevo ataque.
☞ El artículo completo original de Natalia Polo lo puedes ver aquí
No hay comentarios.:
Publicar un comentario