Un nuevo giro en las tácticas de los cibercriminales vuelve a poner en guardia a los equipos de seguridad: según un informe reciente, el colectivo conocido como Scattered LAPSUS$ Hunters (SLH) estaría reclutando deliberadamente a mujeres para realizar campañas de vishing dirigidas a los departamentos de soporte técnico, ofreciendo entre 500 y 1.000 dólares por llamada y facilitando guiones ya preparados para engañar a los operadores. La firma de inteligencia Dataminr describió esta iniciativa como una apuesta por diversificar y afinar su “plantilla social” con el objetivo de aumentar las probabilidades de éxito al suplantar a empleados ante los centros de ayuda según su informe.
Detrás del acrónimo SLH se encuentra una amalgama de actores que ya han demostrado su capacidad para explotar debilidades humanas y tecnológicas. Grupos como LAPSUS$, Scattered Spider y ShinyHunters han sido vinculados entre sí en operaciones que combinan llamadas convincente, ingeniería social muy trabajada y técnicas para sortear autenticaciones multipaso. La estrategia es sencilla en su planteamiento: lograr que el personal de help desk realice un restablecimiento de credenciales o instale una herramienta de acceso remoto (RMM), lo que abre la puerta a movimientos laterales, elevación de privilegios y robo masivo de datos, incluso con despliegue posterior de ransomware.
Los analistas que siguen a estos actores señalan que no se limitan a la burda suplantación telefónica. Para camuflar su actividad y evitar alarmas, emplean servicios legítimos y redes de proxies residenciales —mecanismos que les permiten mezclar su tráfico con tráfico “normal”— y utilizan túneles y servicios de intercambio de archivos públicos para exfiltrar información. Herramientas como Ngrok, Teleport y servicios de almacenamiento temporal han aparecido en las investigaciones, así como plataformas de proxies comerciales que dificultan el rastreo de la infraestructura del atacante. Un perfil técnico más detallado de estas prácticas puede consultarse en análisis especializados como el de Team Cymru.
La capacidad de estos grupos para explotar el factor humano ha llevado a que firmas de ciberseguridad como Palo Alto Networks Unit 42 publiquen seguimientos en los que describen a Scattered Spider (seguido por Unit 42 bajo el nombre “Muddled Libra”) como un actor muy hábil en manipular la psicología humana. Unit 42 ha documentado casos en los que, tras obtener credenciales privilegiadas por vía telefónica, los atacantes crean máquinas virtuales para realizar reconocimiento de Active Directory y extraer buzones de correo o datos de plataformas en la nube como Snowflake; operaciones que combinan la suplantación con técnicas de movimiento lateral y exfiltración silenciosa. Su dossier técnico y recomendaciones están disponibles en el playbook publicado por Unit 42 aquí, y en otros documentos donde se explica cómo rastrear estas amenazas a través de registros en la nube aquí.
Una faceta técnica recurrente en estos ataques es la búsqueda de formas de eludir la autenticación multifactor (MFA). Prácticas como el “prompt bombing” —saturar notificaciones de MFA hasta que un usuario pulsa aceptar por error— y el intercambio de SIM son herramientas en el arsenal de estos grupos. Para entender mejor esa técnica y su impacto en las defensas, existen explicaciones detalladas en recursos especializados como los de Silverfort.
Frente a esta evolución, los equipos de seguridad y los departamentos de soporte técnico deben mirar más allá de las soluciones puramente tecnológicas. La formación y los procedimientos son piezas clave: el personal de help desk necesita estar preparado para detectar guiones preparados, llamadas muy pulidas y técnicas destinadas a provocar confianza rápida. Al mismo tiempo, las organizaciones tienen que endurecer sus políticas de acceso: abandonar los factores basados en mensajes SMS por métodos resistentes a phishing, implementar controles estrictos para la creación de cuentas administrativas, y auditar de forma sistemática cualquier elevación de privilegios tras una interacción telefónica.
Los controles técnicos complementan la formación. La monitorización de logs en la nube puede permitir detectar movimientos anómalos tras una llamada al soporte; limitar la posibilidad de instalar herramientas RMM sin aprobación previa reduce vectores de compromiso; y el empleo de autenticación phishing-resistant, como claves FIDO2 o soluciones basadas en certificados, disminuye drásticamente la eficacia de los intentos de suplantación. Organismos oficiales y centros de respuesta recomiendan combinar medidas de concienciación con configuraciones robustas de identidad: los lineamientos de NIST sobre identidad digital ofrecen marcos para diseñar políticas MFA y de verificación de identidad consultables aquí, y el CERT/CISA mantiene consejos prácticos sobre cómo identificar y mitigar técnicas de ingeniería social disponibles aquí.
No es solo una cuestión de levantar barreras técnicas: la presión del mercado laboral y la oferta de recompensas económicas por llamada crean un entorno donde la ingeniería social se profesionaliza y diversifica. Dataminr interpreta este reclutamiento focalizado en voces femeninas como una estrategia calculada para sortear estereotipos y sesgos en la detección humana, haciéndose más difícil para los operadores distinguir una solicitud legítima de una operación maliciosa. Esta adaptación es una llamada de atención: los atacantes no solo innovan en código, también en tácticas humanas y logísticas.
La conclusión es clara y, desafortunadamente, predecible: la seguridad moderna exige una combinación de formación sostenida, procesos rigurosos y tecnologías que reduzcan la dependencia en la verificación por voz o por SMS. Seguir las investigaciones y directrices de empresas de inteligencia y centros de investigación —como los análisis de Unit 42 o los avisos de Dataminr— ayuda a comprender el patrón y, sobre todo, a diseñar respuestas prácticas que reduzcan la superficie de ataque de estos grupos.
Si su organización depende de equipos de soporte telefónico, ahora mismo conviene revisar quién puede aprobar cambios críticos, cómo se valida la identidad de quien llama y qué señales en los registros pueden delatar una suplantación. La amenaza es real y está en evolución; la mejor respuesta es anticiparse con formación, procedimientos y controles técnicos que hagan que esa apuesta por reclutar voces humanas deje de ser rentable para los atacantes.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...