EDUARDO TAMBIÉN ESTÁ EN:

Scattered Spider: El Nuevo Fantasma de la Ingeniería Social. ¿Quiénes son y por qué deberían preocuparnos?

…aunque México no ha sido blanco confirmado por el momento, sus características lo vuelven un terreno fértil para este tipo de ataques.

30 de junio, 2025

Jose Luis Garcia

Scattered Spider (también conocido como UNC3944 o Muddled Libra) es un grupo de cibercriminales compuesto en su mayoría por jóvenes del Reino Unido y EE. UU. Su fama creció en 2023 tras ataques a MGM Resorts y Caesars Entertainment, donde usaron ingeniería social muy agresiva para evadir la autenticación multifactor (MFA).

Hoy apuntan a sectores clave como retail, turismo y aviación. En EE. UU. ya lograron acceso engañando al personal de varias mesas de ayuda, obteniendo credenciales de acceso válidas. Aunque en México no hay ataques confirmados, expertos advierten que el riesgo es muy alto, especialmente en empresas con operaciones internacionales o con servicios de mesas de ayuda tercerizadas.

Su modus operandi: Ingeniería Social y Herramientas Legítimas

Scattered Spider destaca porque aprovecha la confianza de los empleados en lugar de explotar fallas técnicas de la infraestructura de la organización. Sus tácticas principales:

· Phishing, Vishing y Smishing: Se hacen pasar por personal de TI para obtener contraseñas o códigos OTP.

· Ataques de MFA Fatigue: Bombardean al usuario con notificaciones hasta que acepta un acceso fraudulento.

· SIM Swapping: Mediante engaños al operador de la empresa telefónica consiguen que se transfiera el número de la víctima a un chip que controlan, recibiendo así los códigos SMS de autenticación.

· Uso de herramientas legítimas como ngrok (para abrir túneles seguros y evadir firewalls), ScreenConnect y Pulseway (control y monitoreo remoto) para moverse lateralmente en la red sin levantar sospechas.

· Ransomware BlackCat/ALPHV: Con el servicio de RaaS (Ransomware as a Service) cifran datos y amenazan con publicarlos si la víctima no paga. Es un modelo de extorsión doble muy efectivo.

El riesgo en México

Aunque no hay casos confirmados localmente, el modelo de ataque es altamente replicable. Muchas empresas mexicanas dependen del uso de MFA por SMS, de mesas de ayuda internas o tercerizadas para atención a usuarios y servicios en la nube. Todo esto las vuelve vulnerables a las tácticas de Scattered Spider.

Sectores con especial riesgo:

· Bancos y Fintechs con atención telefónica o SMS como segundo factor.

· Retail con grandes plantillas y alta rotación.

· Turismo y aviación con call centers y mesas de ayuda 7/24

Recomendaciones clave para las empresas

Para reducir el riesgo de un ataque tipo Scattered Spider, la CISA y expertos recomiendan:

· Fortalecer MFA: Migrar de SMS a opciones resistentes al phishing (llaves FIDO2, apps con biometría).

· Fortalecer los procesos en la Mesa de Ayuda: Verificar la identidad de quien solicita cambios, evitar aprobaciones rápidas o sin validación.

· Monitorear y controlar herramientas remotas: Limitar el uso de las herramientas ngrok, ScreenConnect, Pulseway y revisar sus logs.

· Mantener sistemas actualizados y restringir apps no autorizadas.

· Implementar proceso de Respaldos y probarlos regularmente.

· Capacitar al personal en reconocer phishing, smishing y vishing, con simulaciones reales y continuas para medir su capacidad de detección.

¿Qué hacer hoy en México?

Las empresas pueden arrancar ya con acciones concretas:

· Auditar quién y cómo puede resetear MFA.

· Revisar políticas de acceso remoto y monitoreo de logs.

· Implementar programas de concientización del sieguridad a empleados sobre ingeniería social avanzada.

· Simular ataques de Phishing y Vishing para fortalecer la cultura de seguridad.

· Actualizar el plan de respuesta a incidentes incluyendo escenarios de ingeniería social y compromisos de MFA.

Conclusión

Scattered Spider no necesita vulnerar sistemas complicados: ataca a las personas, y aunque México no ha sido blanco confirmado por el momento, sus características lo vuelven un terreno fértil para este tipo de ataques. Fortalecer MFA, blindar procesos internos y educar al personal son pasos urgentes para evitar ser la próxima víctima.

Fuentes:

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-320a

Comentarios