Los cibercriminales que operan bajo la marca ShinyHunters han lanzado una sofisticada campaña de extorsión dirigida a los sistemas corporativos en la nube mediante ataques de phishing por voz que eluden la autenticación multifactor, según una investigación conjunta de Mandiant y el Threat Intelligence Group de Google. Los atacantes suplantan al personal de TI para engañar a los empleados y lograr que introduzcan sus credenciales en páginas de inicio de sesión falsas, para luego robar datos sensibles de plataformas como Salesforce y SharePoint con fines de extorsión.
Los ataques siguen un patrón calculado que ya ha comprometido a múltiples organizaciones, y las víctimas aparecen listadas en un nuevo sitio de filtración de datos de SHINYHUNTERS que surgió a finales de enero de 2026, según la investigación de Mandiant y Google. El sitio enumera a las empresas afectadas y presenta información de contacto previamente asociada al grupo.
Durante estos ataques, los criminales llaman a los empleados afirmando ser del departamento de TI de su empresa, argumentando la necesidad de actualizar las configuraciones de autenticación multifactor. A continuación, dirigen a las víctimas hacia páginas de inicio de sesión falsas que imitan fielmente los portales legítimos de inicio de sesión único, utilizando a menudo dominios como «companyname-sso.com» o «companyname-internal.com», registrados a través de servicios que incluyen NICENIC y Tucows.
Una vez que los empleados introducen sus credenciales y los códigos MFA, los atacantes secuestran de inmediato sus cuentas y registran sus propios dispositivos como métodos de autenticación válidos, lo que les otorga acceso persistente a los sistemas corporativos. Para evitar ser detectados, los criminales eliminan los correos electrónicos de notificación de seguridad que alertarían a las víctimas sobre la adición de nuevos dispositivos, según indica el informe.
Escalada en las tácticas de extorsión
Tras obtener acceso, los atacantes se enfocan en los datos disponibles a través de plataformas como Salesforce, SharePoint, Docusign y Slack. Utilizan comandos de PowerShell para descargar archivos desde SharePoint y OneDrive, buscando específicamente documentos que contengan palabras clave como «confidential,» «internal,» y «salesforce,» según descubrieron los investigadores.
La fase de extorsión comienza con correos electrónicos bajo la marca ShinyHunters que exigen un pago en Bitcoin en un plazo de 72 horas. Los atacantes proporcionan muestras de los datos robados alojados en servicios como Limewire como prueba de la vulneración. Si las víctimas no cumplen, el grupo intensifica la presión con mensajes de texto intimidatorios dirigidos a los empleados y ataques distribuidos de denegación de servicio contra los sitios web de la empresa.
Los investigadores de seguridad han vinculado estas operaciones al grupo conocido como Scattered Spider (también rastreado como UNC3944), que ha sido identificado como afiliado a ShinyHunters o como el mismo grupo. La campaña demuestra que incluso las organizaciones con controles de seguridad modernos siguen siendo vulnerables a ataques de ingeniería social sofisticados.
Para defenderse contra estas amenazas, los expertos en seguridad recomiendan migrar a métodos MFA resistentes al phishing, como llaves de seguridad FIDO2 o passkeys. Las organizaciones también deberían exigir una verificación rigurosa para el restablecimiento de contraseñas, incluyendo videollamadas en vivo donde los usuarios muestren una identificación oficial. Los equipos de detección deberían vigilar patrones sospechosos, como el registro de dispositivos MFA inmediatamente después de inicios de sesión desde ubicaciones nuevas y el uso de PowerShell para descargas masivas desde plataformas de almacenamiento en la nube.
Sources
- Google Cloud
- Varonis
