En las últimas semanas, los equipos de inteligencia en seguridad de Google y Mandiant han detectado una oleada de ataques dirigidos que combinan ingeniería social por voz —el llamado vishing— con páginas de suplantación que imitan a empresas legítimas para robar credenciales y códigos de autenticación. El objetivo declarado de los atacantes es acceder a aplicaciones en la nube tipo SaaS, extraer información sensible y luego extorsionar a las organizaciones afectadas.
Según el análisis público, la actividad se agrupa en varios clústeres que los investigadores están monitorizando por separado, lo que sugiere que pueden ser equipos distintos que comparten tácticas o que una misma red criminal está diversificando sus métodos. Algunas campañas se han observado a principios de enero de 2026 y todas parten de una misma idea: engañar a empleados haciéndose pasar por personal de soporte o TI para conseguir que entreguen credenciales y códigos de MFA en páginas fraudulentas que reproducen la marca de la víctima.
El ataque típico comienza con una llamada legítima en apariencia, en la que el interlocutor finge ser técnico y pide al empleado que acceda a un enlace para “actualizar” su autenticación. En muchos casos, los atacantes no se limitan a robar usuario y contraseña: registran su propio dispositivo para el factor adicional y así evitan que las medidas de MFA bloqueen su acceso. Con esa entrada inicial, los intrusos se mueven lateralmente por los entornos corporativos, descargan datos de servicios como SharePoint o OneDrive y, en ocasiones, utilizan cuentas de correo comprometidas para enviar nuevos correos de phishing a contactos de interés y borrar luego las pruebas.
También hay evidencias de que determinados actores han explotado accesos a plataformas de identidad como Okta y han descargado información mediante scripts de PowerShell. El patrón incluye, además, una escalada en las técnicas de extorsión: tras la sustracción de información llegan las demandas y, en algunos incidentes reportados, acosos dirigidos contra personal de la organización afectada para presionar el pago.
Los investigadores han observado diferencias operativas entre grupos: algunos utilizan un registrador de dominios mientras otros usan otro distinto para crear las páginas de suplantación, y no siempre las campañas de phishing desembocan en el mismo formato de extorsión. Ese detalle sugiere que detrás de la etiqueta “ShinyHunters” podría haber múltiples equipos con grados distintos de coordinación, lo que complica la atribución y la respuesta.
La razón por la que estas campañas son especialmente peligrosas es que apuntan a las cuentas de identidad y a las puertas de entrada de las aplicaciones en la nube, donde suele almacenarse la información más valiosa y las comunicaciones internas. Un acceso persistente a servicios SaaS permite a un atacante recolectar datos de forma silenciosa y construir un caso de presión para pedir rescate.
Ante este panorama, los equipos de seguridad recomiendan endurecer los procesos de soporte al usuario y supervisar con especial atención eventos relacionados con la gestión de identidades. Google Cloud publicó una guía con medidas concretas que incluyen exigir verificaciones de identidad más sólidas en interacciones telefónicas o de help desk, limitar los puntos de salida confiables y aplicar controles de acceso basados en dispositivo, entre otras acciones. Puedes consultarla en el blog oficial de Google Cloud: expansión de actividad vinculada a ShinyHunters y en el artículo de mitigación: recomendaciones para defender plataformas SaaS.
No se trata de fallos técnicos en los proveedores, sino de la eficacia de la ingeniería social. Por eso las autoridades y expertos insisten en la migración hacia métodos de autenticación que resistan el phishing: las llaves de seguridad FIDO2 y las passkeys reducen sustancialmente la posibilidad de que un atacante obtenga acceso incluso si logra engañar a un usuario. Para profundizar en estos estándares puedes visitar la web de la FIDO Alliance y la guía técnica del NIST sobre autenticación: NIST SP 800-63B.
Además de adoptar autenticadores resistentes a phishing, las organizaciones deben reforzar el registro y la telemetría: activar auditorías que detecten inscripciones de dispositivos MFA inusuales, cambios en el ciclo de vida de autenticadores y autorizaciones de OAuth que permitan manipular buzones. La visibilidad sobre acciones de identidad y exportaciones desde SaaS es clave para detectar exfiltraciones tempranas. Las agencias de seguridad pública también ofrecen pautas prácticas contra el phishing que siguen siendo relevantes para empresas y usuarios: por ejemplo, la guía del CISA sobre phishing.
En el día a día, hay medidas sencillas pero eficaces: desconfiar de solicitudes no solicitadas que piden credenciales o códigos, verificar la identidad del interlocutor por canales distintos a la llamada inicial, y evitar el uso de SMS y llamadas como único factor de recuperación. También es recomendable limitar privilegios, auditar secretos expuestos y bloquear gestiones administrativas desde ubicaciones no confiables.
Estos acontecimientos subrayan una realidad incómoda: los delincuentes evolucionan sus métodos hacia la nube y la extorsión, y combinan técnicas técnicas y psicológicas para sortear barreras de seguridad tradicionales. La respuesta debe ser igualmente híbrida, mezclando tecnología, procesos internos más estrictos y formación continua del personal para reconocer y reportar intentos de engaño.
En resumen, la amenaza que se observa en enero de 2026 es una mezcla de vishing sofisticado, dominios fraudulentos que imitan marcas y abusos de MFA para persistir en entornos SaaS, todo ello encaminado a extraer información que luego se usa para extorsionar. No existe una solución única, pero las prácticas recomendadas por proveedores y autoridades, junto con la adopción de mecanismos de autenticación resistentes al phishing, reducen significativamente el riesgo y la ventana de oportunidad de estos atacantes.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...