{"id":183939,"date":"2026-02-23T11:54:37","date_gmt":"2026-02-23T10:54:37","guid":{"rendered":"https:\/\/liora.io\/es\/shinyhunters-mantienen-como-rehenes-a-las-empresas-saas-es-su-negocio-el-proximo"},"modified":"2026-02-23T11:54:37","modified_gmt":"2026-02-23T10:54:37","slug":"shinyhunters-mantienen-como-rehenes-a-las-empresas-saas-es-su-negocio-el-proximo","status":"publish","type":"post","link":"https:\/\/liora.io\/es\/shinyhunters-mantienen-como-rehenes-a-las-empresas-saas-es-su-negocio-el-proximo","title":{"rendered":"ShinyHunters mantienen como rehenes a las empresas SaaS: \u00bfEs su negocio el pr\u00f3ximo?"},"content":{"rendered":"

Los cibercriminales que operan bajo la marca ShinyHunters han lanzado una sofisticada campa\u00f1a de extorsi\u00f3n dirigida a los sistemas corporativos en la nube mediante ataques de phishing por voz que eluden la autenticaci\u00f3n multifactor, seg\u00fan una investigaci\u00f3n conjunta de Mandiant y el Threat Intelligence Group de Google. Los atacantes suplantan al personal de TI para enga\u00f1ar a los empleados y lograr que introduzcan sus credenciales en p\u00e1ginas de inicio de sesi\u00f3n falsas, para luego robar datos sensibles de plataformas como Salesforce y SharePoint con fines de extorsi\u00f3n.<\/strong><\/p>\n

Los ataques siguen un patr\u00f3n calculado que ya ha comprometido a m\u00faltiples organizaciones, y las v\u00edctimas aparecen listadas en un nuevo sitio de filtraci\u00f3n de datos de SHINYHUNTERS<\/strong> que surgi\u00f3 a finales de enero de 2026, seg\u00fan la investigaci\u00f3n de Mandiant y Google. El sitio enumera a las empresas afectadas y presenta informaci\u00f3n de contacto previamente asociada al grupo.<\/p>\n

Durante estos ataques, los criminales llaman a los empleados afirmando ser del departamento de TI de su empresa, argumentando la necesidad de actualizar las configuraciones de autenticaci\u00f3n multifactor<\/strong>. A continuaci\u00f3n, dirigen a las v\u00edctimas hacia p\u00e1ginas de inicio de sesi\u00f3n falsas que imitan fielmente los portales leg\u00edtimos de inicio de sesi\u00f3n \u00fanico, utilizando a menudo dominios como \u00abcompanyname-sso.com\u00bb o \u00abcompanyname-internal.com\u00bb, registrados a trav\u00e9s de servicios que incluyen NICENIC<\/strong> y Tucows<\/strong>.<\/p>\n

Una vez que los empleados introducen sus credenciales y los c\u00f3digos MFA, los atacantes secuestran de inmediato sus cuentas y registran sus propios dispositivos como m\u00e9todos de autenticaci\u00f3n v\u00e1lidos, lo que les otorga acceso persistente a los sistemas corporativos. Para evitar ser detectados, los criminales eliminan los correos electr\u00f3nicos de notificaci\u00f3n de seguridad que alertar\u00edan a las v\u00edctimas sobre la adici\u00f3n de nuevos dispositivos, seg\u00fan indica el informe.<\/p>\n

Escalada en las t\u00e1cticas de extorsi\u00f3n<\/h3>\n

Tras obtener acceso, los atacantes se enfocan en los datos disponibles a trav\u00e9s de plataformas como Salesforce<\/strong>, SharePoint<\/strong>, Docusign<\/strong> y Slack<\/strong>. Utilizan comandos de PowerShell para descargar archivos desde SharePoint y OneDrive, buscando espec\u00edficamente documentos que contengan palabras clave como \u00abconfidential,\u00bb \u00abinternal,\u00bb y \u00absalesforce,\u00bb seg\u00fan descubrieron los investigadores.<\/p>\n

La fase de extorsi\u00f3n comienza con correos electr\u00f3nicos bajo la marca ShinyHunters<\/strong> que exigen un pago en Bitcoin en un plazo de 72 horas<\/strong>. Los atacantes proporcionan muestras de los datos robados alojados en servicios como Limewire como prueba de la vulneraci\u00f3n. Si las v\u00edctimas no cumplen, el grupo intensifica la presi\u00f3n con mensajes de texto intimidatorios dirigidos a los empleados y ataques distribuidos de denegaci\u00f3n de servicio contra los sitios web de la empresa.<\/p>\n

Los investigadores de seguridad han vinculado estas operaciones al grupo conocido como Scattered Spider<\/strong> (tambi\u00e9n rastreado como UNC3944), que ha sido identificado como afiliado a ShinyHunters o como el mismo grupo. La campa\u00f1a demuestra que incluso las organizaciones con controles de seguridad modernos siguen siendo vulnerables a ataques de ingenier\u00eda social sofisticados.<\/p>\n

Para defenderse contra estas amenazas, los expertos en seguridad recomiendan migrar a m\u00e9todos MFA resistentes al phishing<\/strong>, como llaves de seguridad FIDO2 o passkeys. Las organizaciones tambi\u00e9n deber\u00edan exigir una verificaci\u00f3n rigurosa para el restablecimiento de contrase\u00f1as, incluyendo videollamadas en vivo donde los usuarios muestren una identificaci\u00f3n oficial. Los equipos de detecci\u00f3n deber\u00edan vigilar patrones sospechosos, como el registro de dispositivos MFA inmediatamente despu\u00e9s de inicios de sesi\u00f3n desde ubicaciones nuevas y el uso de PowerShell para descargas masivas desde plataformas de almacenamiento en la nube.<\/p>\n

\n

\n Sources
\n <\/h3>\n
    \n
  • Google Cloud<\/li>\n
  • Varonis<\/li>\n<\/ul>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

    Los cibercriminales que operan bajo la marca ShinyHunters han lanzado una sofisticada campa\u00f1a de extorsi\u00f3n dirigida a los sistemas corporativos en la nube mediante ataques de phishing por voz que eluden la autenticaci\u00f3n multifactor, seg\u00fan una investigaci\u00f3n conjunta de Mandiant y el Threat Intelligence Group de Google. Los atacantes suplantan al personal de TI para enga\u00f1ar a los empleados y lograr que introduzcan sus credenciales en p\u00e1ginas de inicio de sesi\u00f3n falsas, para luego robar datos sensibles de plataformas como Salesforce y SharePoint con fines de extorsi\u00f3n.<\/p>\n","protected":false},"author":87,"featured_media":183938,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"editor_notices":[],"footnotes":""},"categories":[2436,2428],"class_list":["post-183939","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","category-noticias"],"acf":[],"_links":{"self":[{"href":"https:\/\/liora.io\/es\/wp-json\/wp\/v2\/posts\/183939","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/liora.io\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/liora.io\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/liora.io\/es\/wp-json\/wp\/v2\/users\/87"}],"replies":[{"embeddable":true,"href":"https:\/\/liora.io\/es\/wp-json\/wp\/v2\/comments?post=183939"}],"version-history":[{"count":0,"href":"https:\/\/liora.io\/es\/wp-json\/wp\/v2\/posts\/183939\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/liora.io\/es\/wp-json\/wp\/v2\/media\/183938"}],"wp:attachment":[{"href":"https:\/\/liora.io\/es\/wp-json\/wp\/v2\/media?parent=183939"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/liora.io\/es\/wp-json\/wp\/v2\/categories?post=183939"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}