En las últimas semanas ha emergido una ola de intrusiones que combina la vieja artesanía del engaño telefónico con herramientas de phishing muy sofisticadas, y cuyo objetivo no es tomar una sola cuenta aislada, sino abrir la puerta a todo el ecosistema cloud de una empresa. Investigadores de Mandiant y del equipo de inteligencia de Google han venido rastreando múltiples campañas que, según su análisis, aprovechan llamadas dirigidas —el conocido vishing— y portales falsos con la marca de la compañía para robar credenciales de inicio único (SSO) y códigos o aprobaciones de la autenticación multifactor (MFA). Puede consultarse el informe público que describe esta actividad en el blog de Google Cloud aquí.
El modus operandi combina dos elementos: por un lado, el atacante contacta a la víctima haciéndose pasar por personal de TI o soporte; por el otro, la dirige a una página de acceso que imita exactamente el portal corporativo. Empresas de identidad como Okta han mostrado cómo los kits de phishing han evolucionado para incorporar diálogos interactivos que guían al atacante y a la víctima en tiempo real durante la llamada, lo que facilita recibir las credenciales y manipular las respuestas de MFA mientras el empleado sigue en la línea.
Una vez que el delincuente tiene acceso a una cuenta SSO —por ejemplo en Okta, Microsoft Entra o Google— el panorama cambia radicalmente: desde ese panel central se puede llegar a decenas de aplicaciones en la nube que el usuario tiene autorizadas. Documentos en Salesforce, buzones y archivos en Microsoft 365 y SharePoint, contratos en DocuSign, ficheros en Dropbox o Google Drive, canales de Slack y espacios en Atlassian son objetivos habituales. Para grupos centrados en el robo y la extorsión, ese tablero actúa como una rampa de lanzamiento para copiar grandes volúmenes de datos con una sola cuenta comprometida.
Los equipos que investigan estas campañas han categorizado varias agrupaciones de actores. Mandiant habla de clústers identificados como UNC6661, UNC6671 y de la banda extorsionista conocida como ShinyHunters (a veces referida como UNC6240). En algunos incidentes, el acceso inicial y la exfiltración parecen obra de un grupo oportunista, y las demandas de rescate posteriores son reclamadas por ShinyHunters o por afiliados que replican la técnica. BleepingComputer fue uno de los medios que adelantó detalles sobre las llamadas fingiendo ser soporte corporativo; su crónica ofrece contexto sobre cómo se desarrollan las llamadas y las páginas falsas, y puede consultarse aquí.
Los investigadores han publicado indicios técnicos que permiten identificar actividad maliciosa tras la intrusión. Entre ellos aparecen registros de descargas masivas desde SharePoint o OneDrive donde el agente de usuario es PowerShell, inicios de sesión a Salesforce desde direcciones IP vinculadas a los atacantes y descargas masivas en DocuSign. En al menos un caso, los intrusos activaron un complemento de Google Workspace llamado ToogleBox Recall para buscar y borrar correos que delataran la inscripción de un nuevo método MFA, una maniobra destinada a que la víctima no reciba las notificaciones que podrían alertarla; la función de ese complemento está descrita en el sitio del proveedor aquí.
Los dominios fraudulentos suelen registrarse con nombres que simulan portales legítimos de la empresa: variantes con palabras como "sso", "internal", "support" o incluso combinaciones que incluyen nombres de proveedores de identidad para ganar credibilidad. Mandiant ha observado registros a través de entidades registradoras y el uso de redes de proxy residencial o VPN comerciales para ocultar la procedencia de las conexiones, algo que complica el bloqueo inmediato por IP.
Desde el punto de vista de detección, los expertos recomiendan priorizar la identificación de patrones conductuales más que depender únicamente de listas de bloqueo. Comportamientos como un compromiso de SSO seguido de descargas rápidas o masivas desde varias aplicaciones SaaS, la presencia de PowerShell accediendo a SharePoint y OneDrive, autorizaciones OAuth inesperadas en aplicaciones de terceros y la eliminación de correos de notificación sobre cambios de MFA son señales que deberían activar investigaciones más profundas.
Mandiant ha publicado recomendaciones prácticas para endurecer los flujos de identidad, asegurar los procesos de restablecimiento de autenticación y mejorar el registro de telemetría para poder detectar actividad post-vishing antes de que se complete el robo de datos. También han puesto a disposición reglas para plataformas de operaciones de seguridad que pueden ayudar a encontrar indicadores relacionados con ShinyHunters; un resumen de esas reglas para Google SecOps está disponible en este enlace.
Para las empresas, la lección central es que la MFA ya no es una panacea por sí sola: cuando los atacantes controlan el diálogo social y presentan interfaces convincentes en tiempo real, pueden persuadir a un empleado para que entregue lo que se requiere para inscribir un dispositivo adversario o aprobar un acceso. Por eso, además de mantener MFA, conviene endurecer los procedimientos de soporte por teléfono, exigir verificaciones adicionales en los cambios de métodos de autenticación y monitorizar de cerca cualquier registro de autorización OAuth o inscripciones de nuevos dispositivos MFA.
En el campo operativo, conviene revisar las políticas de acceso de aplicaciones SaaS para limitar permisos al mínimo necesario, activar alertas ante patrones anómalos de descarga y conservar registros largos de auditoría que permitan reconstruir la actividad. La coordinación entre equipos de seguridad, identity providers y administradores de las aplicaciones en la nube es imprescindible para reducir la ventana de exposición cuando una cuenta se ve comprometida.
La campaña que ha puesto en marcha ShinyHunters y actores asociados muestra cómo la seguridad empresarial debe adaptarse a ataques híbridos que mezclan ingeniería social y automatización técnica. Entender el camino que sigue el atacante —la llamada de vishing, el portal falsificado, la captura de credenciales, la manipulación de MFA y el uso del SSO como palanca— ayuda a diseñar controles que, en conjunto, cerrarán muchas de las rutas de acceso que hoy se están explotando.
Si quieres profundizar en los hallazgos y en las recomendaciones concretas para defensores, el informe y las guías de Mandiant y Google Cloud son un buen punto de partida; la investigación principal está en el blog de Google Cloud publicada por Mandiant/Google, y Okta comparte análisis sobre la evolución de los kits de phishing interactivos en su blog de inteligencia. Para un resumen periodístico de los primeros casos públicos, puedes leer la cobertura de BleepingComputer.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...