Investigadores de ciberseguridad han identificado dos clústeres criminales —conocidos en múltiples informes como Cordial Spider y Snarky Spider— que están protagonizando un cambio preocupante en la industria: ataques de alta velocidad y bajo rastro que operan casi exclusivamente dentro de entornos SaaS confiables. Estas bandas combinan técnicas de ingeniería social por voz (vishing) con páginas de phishing tipo adversary-in-the-middle (AiTM) orientadas a capturar credenciales y códigos MFA, lo que les permite pivotar directamente a proveedores de identidad y a aplicaciones SaaS conectadas sin necesidad de comprometer cada servicio por separado.
El modo de operación descrito por los analistas es sencillo y eficaz: primero convencen a un empleado —a menudo haciéndose pasar por personal de soporte técnico— para que visite una URL maliciosa que intercepta la autenticación SSO; luego usan esas credenciales para registrar un dispositivo nuevo, eliminar los dispositivos legítimos y suprimir alertas insidiosamente creando reglas en la bandeja de entrada que eliminan mensajes de notificación. Tras escalar privilegios mediante scraping de directorios internos, los atacantes buscan documentos y reportes de alto valor en plataformas como Google Workspace, Microsoft SharePoint, HubSpot o Salesforce, para exfiltrar y, en ocasiones, extorsionar a la víctima. Investigaciones públicas recientes redundan en que estas operaciones emplean técnicas “living-off-the-land” y proxies residenciales para dificultar la atribución y evadir filtros básicos de reputación IP.
Las implicaciones son claras: el proveedor de identidad (IdP) se convierte en un único punto de fallo. Si los atacantes obtienen sesiones válidas allí, pueden moverse lateralmente por todo el ecosistema SaaS con una sola autenticación, reduciendo su huella forense y acelerando el tiempo hasta el impacto. Para organizaciones medianas y grandes esto traduce en riesgos directos a la confidencialidad de datos sensibles, continuidad operativa y exposición regulatoria en materia de protección de datos y notificación de brechas.
Frente a este escenario, las medidas defensivas deben priorizar la protección del perímetro de identidad y la capacidad de detección de actividad anómala dentro de SaaS. Entre las prácticas más efectivas se encuentran la adopción de métodos de autenticación resistentes al phishing (por ejemplo FIDO2/WebAuthn y llaves de seguridad físicas), políticas de acceso condicional que evalúen riesgo por contexto de sesión (ubicación, dispositivo, comportamiento), y la eliminación o restricción de métodos MFA basados en códigos SMS o TOTP si no son evaluados por controles adicionales. También es crítico disponer de cuentas de emergencia ("break glass") con control estricto y auditoría, y habilitar retención y exportación de logs del IdP y de las aplicaciones SaaS para análisis forense.
Detectar estas campañas exige observabilidad específica: monitorizar registros de registro de dispositivos nuevos, cambios en la configuración de MFA, creación de reglas de bandeja de entrada, concesión de tokens inusuales y patrones de acceso escalonado entre múltiples servicios en una ventana corta. La integración de capacidades de Identity Threat Detection and Response (ITDR), CASB y DLP ayuda a correlacionar señales que por separado podrían parecer benignas pero juntas indican compromiso. Además, bloquear o etiquetar tráfico proveniente de proxies residenciales y enriquecer eventos con inteligencia sobre infraestructura maliciosa reduce falsos negativos.
En el plano humano y procedimental conviene reforzar los controles contra vishing: establecer procedimientos de verificación para llamadas de soporte (por ejemplo, códigos de verificación de llamada saliente o canales de confirmación alternativos), simular ataques de vishing en programas de concienciación y preparar ejercicios de tabletop que incluyan la recuperación de identidades comprometidas y la coordinación con proveedores SaaS para revocar sesiones y credenciales afectadas. Mantener canales de comunicación con grupos de intercambio sectorial como RH-ISAC y con equipos de respuesta externa acelera la detección y contención en casos reales; ver recursos generales de respuesta y análisis en CrowdStrike y en Mandiant, y las notas de inteligencia de unidades como Unit 42 en Palo Alto Networks.
Para los responsables ejecutivos, la prioridad es entender que la seguridad ya no es solo proteger endpoints y redes: la identidad es la nueva perímetro. Invertir en controles de identidad, visibilidad dentro del stack SaaS y en planes de respuesta que consideren exfiltración rápida y extorsión reducirá tanto la probabilidad como el impacto de estos ataques. Finalmente, documentar y probar flujos de notificación a clientes y reguladores ante una posible filtración y disponer de apoyo legal y de comunicaciones es tan importante como la remediación técnica.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...