El FBI ha emitido una alerta urgente sobre la creciente actividad del grupo de cibercrimen conocido como Scattered Spider, una amenaza altamente sofisticada que ha evolucionado desde ataques de SIM swapping hasta convertirse en un actor clave en campañas de ransomware, extorsión y sabotaje digital. Su nueva ola de ataques apunta directamente al sector aeronáutico y de transporte, con víctimas confirmadas como Hawaiian Airlines y WestJet.
Pero lo que hace a Scattered Spider especialmente peligroso no es solo su arsenal técnico, sino su dominio absoluto de la ingeniería social. Este grupo no necesita vulnerabilidades de día cero: necesita una llamada telefónica convincente.
🎯 El vector de ataque: confianza humana
Scattered Spider ha perfeccionado un enfoque que combina reconocimiento profundo, suplantación de identidad y engaño al soporte técnico. El proceso suele comenzar con una investigación detallada del objetivo: redes sociales, filtraciones públicas, datos de breaches anteriores. Luego, los atacantes se hacen pasar por empleados de alto nivel —como CFOs o administradores de TI— y contactan al help desk de la empresa.
Con un guion bien ensayado, convencen al personal de soporte para que restablezca contraseñas, agregue dispositivos a la autenticación multifactor (MFA) o incluso proporcione información interna. Una vez dentro, escalan privilegios, acceden a entornos en la nube, extraen datos sensibles y, en muchos casos, despliegan ransomware.
🧠 Casos recientes y tácticas avanzadas
En un incidente reciente, Scattered Spider suplantó al CFO de una empresa para tomar control de su cuenta. Usaron datos como fecha de nacimiento y los últimos dígitos del número de seguro social para pasar los filtros de autenticación. Con ese acceso, lograron:
- Enumerar cuentas privilegiadas en Entra ID (Azure AD)
- Acceder a SharePoint y plataformas VDI
- Comprometer la infraestructura de VMware vCenter
- Extraer más de 1.400 secretos desde CyberArk
- Usar herramientas legítimas como ngrok para mantener persistencia
- Borrar reglas de firewall en Azure para sabotear la respuesta del equipo de seguridad
Este nivel de acceso no solo permite robar datos, sino también interrumpir operaciones críticas en cuestión de horas.
🛡️ ¿Por qué siguen teniendo éxito?
Porque no atacan sistemas: atacan personas.
Incluso con MFA, si el help desk es engañado para agregar un nuevo dispositivo, el atacante entra como si fuera legítimo. Según Mandiant y Palo Alto Networks, el grupo entiende profundamente los flujos de trabajo humanos y sabe cómo presionar en el momento justo.
El FBI recomienda endurecer los procesos de verificación en soporte técnico, evitar cambios de MFA sin validación estricta y capacitar al personal en ingeniería social avanzada. No se trata solo de tecnología, sino de procesos internos y cultura de seguridad.
https://thehackernews.com/2025/06/fbi-warns-of-scattered-spiders.html
