Scattered Spider: la amenaza persistente que redefine la ingeniería social

En un contexto donde la ciberseguridad avanza rápidamente, también lo hacen los grupos que buscan vulnerarla. Uno de los más activos y sofisticados del panorama actual es Scattered Spider, un colectivo conocido por ataques altamente dirigidos a infraestructura crítica, casinos, servicios financieros y grandes corporativos.

En julio de 2025, el FBI, CISA, NCSC-UK y otras agencias actualizaron su alerta conjunta, advirtiendo sobre las nuevas tácticas, herramientas y variantes de ransomware usadas por el grupo, entre ellas DragonForce.

¿Quiénes son Scattered Spider?

Este grupo, también conocido como UNC3944, Octo Tempest o Star Fraud, se compone principalmente de jóvenes en EE.UU. y Reino Unido. Saltaron a la fama con sus ataques a MGM Resorts y Caesars Entertainment, empleando ingeniería social para burlar help desks, resetear accesos y luego cifrar sistemas enteros.

Ahora, han ampliado su foco a proveedores de nube como Snowflake, afectando a empresas como Ticketmaster, AT&T y Neiman Marcus.

Técnicas sofisticadas, impactos masivos

Scattered Spider es experto en:

• Impersonar empleados en llamadas al help desk
  
  
• Realizar SIM swapping para robar identidades
  
  
• Acceder a redes mediante RMM tools como AnyDesk
  
  
• Comprometer Active Directory y extraer credenciales
  
  
• Utilizar herramientas como Mimikatz y secretsdump
  
  
• Ejecutar ataques de doble extorsión: cifrar y amenazar con publicar datos
  
  

Recomendaciones clave del advisory:

• Reforzar la verificación de identidad en help desks
  
  
• Implementar MFA resistente a phishing, como tokens físicos
  
  
• Limitar accesos remotos y monitorear con EDR en tiempo real
  
  
• Aislar servidores críticos con reglas "default-deny"
  
  
• Ejecutar ejercicios tipo Red Team para simular ataques a Active Directory
  
  
• Tener respaldos seguros y probados
  
  

¿Qué deben hacer las empresas?

Scattered Spider representa una nueva generación de amenazas que combina ingeniería social, automatización, malware y presión mediática. La defensa debe ser proactiva, profunda y dinámica, centrada no solo en tecnología, sino también en personas y procesos.

Ignorar esta amenaza puede tener consecuencias legales, operativas y reputacionales de gran escala.

‍