EDUARDO TAMBIÉN ESTÁ EN:

Scattered Spider: El Nuevo Fantasma de la Ingeniería Social. ¿Quiénes son y por qué deberían preocuparnos?

…aunque México no ha sido blanco confirmado por el momento, sus características lo vuelven un terreno fértil para este tipo de ataques.

30 de junio, 2025

Jose Luis Garcia

Scattered Spider (también conocido como UNC3944 o Muddled Libra) es un grupo de cibercriminales compuesto en su mayoría por jóvenes del Reino Unido y EE. UU. Su fama creció en 2023 tras ataques a MGM Resorts y Caesars Entertainment, donde usaron ingeniería social muy agresiva para evadir la autenticación multifactor (MFA).

Hoy apuntan a sectores clave como retail, turismo y aviación. En EE. UU. ya lograron acceso engañando al personal de varias mesas de ayuda, obteniendo credenciales de acceso válidas. Aunque en México no hay ataques confirmados, expertos advierten que el riesgo es muy alto, especialmente en empresas con operaciones internacionales o con servicios de mesas de ayuda tercerizadas.

Su modus operandi: Ingeniería Social y Herramientas Legítimas

Scattered Spider destaca porque aprovecha la confianza de los empleados en lugar de explotar fallas técnicas de la infraestructura de la organización. Sus tácticas principales:

· Phishing, Vishing y Smishing: Se hacen pasar por personal de TI para obtener contraseñas o códigos OTP.

· Ataques de MFA Fatigue: Bombardean al usuario con notificaciones hasta que acepta un acceso fraudulento.

· SIM Swapping: Mediante engaños al operador de la empresa telefónica consiguen que se transfiera el número de la víctima a un chip que controlan, recibiendo así los códigos SMS de autenticación.

· Uso de herramientas legítimas como ngrok (para abrir túneles seguros y evadir firewalls), ScreenConnect y Pulseway (control y monitoreo remoto) para moverse lateralmente en la red sin levantar sospechas.

· Ransomware BlackCat/ALPHV: Con el servicio de RaaS (Ransomware as a Service) cifran datos y amenazan con publicarlos si la víctima no paga. Es un modelo de extorsión doble muy efectivo.

El riesgo en México

Aunque no hay casos confirmados localmente, el modelo de ataque es altamente replicable. Muchas empresas mexicanas dependen del uso de MFA por SMS, de mesas de ayuda internas o tercerizadas para atención a usuarios y servicios en la nube. Todo esto las vuelve vulnerables a las tácticas de Scattered Spider.

Sectores con especial riesgo:

· Bancos y Fintechs con atención telefónica o SMS como segundo factor.

· Retail con grandes plantillas y alta rotación.

· Turismo y aviación con call centers y mesas de ayuda 7/24

Recomendaciones clave para las empresas

Para reducir el riesgo de un ataque tipo Scattered Spider, la CISA y expertos recomiendan:

· Fortalecer MFA: Migrar de SMS a opciones resistentes al phishing (llaves FIDO2, apps con biometría).

· Fortalecer los procesos en la Mesa de Ayuda: Verificar la identidad de quien solicita cambios, evitar aprobaciones rápidas o sin validación.

· Monitorear y controlar herramientas remotas: Limitar el uso de las herramientas ngrok, ScreenConnect, Pulseway y revisar sus logs.

· Mantener sistemas actualizados y restringir apps no autorizadas.

· Implementar proceso de Respaldos y probarlos regularmente.

· Capacitar al personal en reconocer phishing, smishing y vishing, con simulaciones reales y continuas para medir su capacidad de detección.

¿Qué hacer hoy en México?

Las empresas pueden arrancar ya con acciones concretas:

· Auditar quién y cómo puede resetear MFA.

· Revisar políticas de acceso remoto y monitoreo de logs.

· Implementar programas de concientización del sieguridad a empleados sobre ingeniería social avanzada.

· Simular ataques de Phishing y Vishing para fortalecer la cultura de seguridad.

· Actualizar el plan de respuesta a incidentes incluyendo escenarios de ingeniería social y compromisos de MFA.

Conclusión

Scattered Spider no necesita vulnerar sistemas complicados: ataca a las personas, y aunque México no ha sido blanco confirmado por el momento, sus características lo vuelven un terreno fértil para este tipo de ataques. Fortalecer MFA, blindar procesos internos y educar al personal son pasos urgentes para evitar ser la próxima víctima.

Fuentes:

https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-320a

Comentarios

Jose Luis Garcia

BIO JOSE LUIS GARCIA José Luis García es Emprendedor y Director General de Grupo ETP. Graduado de la Universidad Autónoma Metropolitana como Ingeniero Industrial, con posgrados en Ciberseguridad y Finanzas por el Tecnológico de Monterrey y CISO Club, ha colaborado en posiciones ejecutivas para empresas como NCR de México, Moore de México y fue socio fundador de Netrix empresa especializada en Seguridad Informática. Durante su carrera profesional ha desarrollado exitosamente la instalación del primer SOC-MSSP de carácter internacional con Verisign, hoy Secure Works, desarrollando proyectos de integración en Seguridad informática, gestión de riesgos, certificación ISO 27000, y Security Awareness entre otros para instituciones como el SAT, SCT, Banorte, BanBajio, HDI, Banco Ve Por Mas, etcétera. Cuenta con las certificaciones Certified Cybersecurity Awareness Professional Certified Cybersecurity Professional por HIPAA y Cybersecurity Awareness – CAPC por CertiProf. Actualmente, dirige ETP Tecnología - unidad de negocios de Grupo ETP - como una empresa especializada en el ramo de la Seguridad de la Información y Gestión de Activos de TI.

See Full Bio