Desde noviembre de 2023, la CISA (Agencia de Seguridad Cibernética y de la Infraestructura de EE.UU.) y el FBI han trabajado conjuntamente en una investigación al grupo de ciberdelincuentes «Scattered Spider«, aunque las primeras actividades ilícitas sucedieron a mediados del año 2022.
La sofisticación con la que el grupo ejecutaba los ataques, junto con los objetivos de los mismos (grandes empresas, proveedores tecnológicos y operadores de infraestructuras críticas), provocaron que las agencias federales emitieran las primeras alertas formales. Desde entonces, estos cibercriminales han sido objeto de seguimiento internacional.
En julio de 2025, CISA y FBI, en colaboración con agencias internacionales de Canadá, Reino Unido y Australia, han publicado una versión actualizada del Informe de seguridad, incorporando la tácticas observadas hasta junio de 2025.
Tras la primera identificación, este actor ha evolucionado significativamente, profesionalizando las técnicas de ingeniería social y capacidades de despliegue de ransomware, lo que representa una evolución especialmente peligrosa, combinando la ingería social tradicional con técnicas avanzadas para vulnerar objetivos de alto valor.
La metodología de Scattered Spider no solo se centra en el robo de datos. Tienen esquemas establecidos de extorsión que combinan la información robada con cifrado mediante ransomware para maximizar el impacto financiero de sus objetivos. Investigadores del CISA han logrado identificar el ransomware DragonForce entre su arsenal, consiguiendo combinarlo con técnicas tradicionales de exfiltración de datos, lo que marca una escalada en su perfil de amenaza.
¿Qué diferencia a Scattered Spider de otros ciberdelincuentes?
El distintivo de Scattered Spider no es solo su capacidad técnica, sino su enfoque en la ingeniería social, el cual han profesionalizado y adaptado para cada escenario. Su acceso inicial suele estar dirigido a empleados y personal de soporte técnico a través de campañas de phising. Aquí radica la gran diferencia, estas campañas de phising no se realizan de manera masiva, sino que construyen ataques personalizados con la información extraída de sitios corporativo, redes sociales y fuentes de código abierto.
Recientemente agentes de CISA han señalado la incorporación de la técnica de «push bombing» o «MFA bombing«, siendo capaces de explotar el sistema de autenticación multifactor y el secuestro de tarjetas SIM para suplantación de identidad. Cuando logran el acceso, registran sus propios tokens MFA, permitiéndoles persistir incluso tras cambios de contraseñas. Para asegurar esta persistencia usan herramientas de monitorización legítimas como TeamViewer o AnyDesk.
Además, han desplegado versiones personalizadas de malware, como RattyRAT, un troyano de acceso remoto basado en Java que consigue un acceso persistente, sigiloso y de reconocimiento interno. Esto, junto con la conciencia en seguridad operativa que han demostrado poseer, llegando a monitorizar comunicaciones internas de las organizaciones a través de cuentas de Microsoft Teams o Slack, les ha permitido unirse incluso a llamadas de respuesta a incidentes, capacitándoles a una adaptación de sus tácticas en respuesta a las medidas defensivas, lo que baja drásticamente la eficiencia de los enfoques tradicionales de tratamiento de amenazas.
La amenaza de Scattered Spider no proviene únicamente en sus herramientas, sino en la capacidad de adaptación y explotación de «vulnerabilidades humanas«. En un ecosistema en el que el MFA, la nube, y las herramientas de colaboración están a la orden del día, el verdadero desafío no solo es técnico, también es cultural, aprender a identificar la «telaraña» antes de quedar atrapado en ella.
Más información:
- https://cybersecuritynews.com/cisa-and-fbi-shared-ttps-of-scattered-spider/amp/
- https://industrialcyber.co/transport/fbi-raises-alarm-over-scattered-spider-targeting-airline-sector-with-social-engineering-schemes/?utm_source=chatgpt.com
- https://www.splunk.com/en_us/blog/learn/scattered-spider.html?utm_source=chatgpt.com
- https://pcesolutions.net/sin-categorizar/ciberseguridad/que-es-el-push-bombing-y-como-evitarlo/
Deja una respuesta