Por Mid 
Scattered Spider: conocer la telaraña no evita quedar atrapado
Tiempo estimado de lectura: 5 minutos
Dificultad técnica: Alta
Conclusiones clave
- Scattered Spider utiliza técnicas avanzadas de ingeniería social y ransomware.
- Sus ataques están personalizadas y dirigidas a empleados de alto nivel.
- El grupo ha desarrollado capacidades para explotar la autenticación multifactor y mantener la persistencia en los sistemas comprometidos.
- El riesgo no solo proviene de sus herramientas, sino de su habilidad para manipular vulnerabilidades humanas en contextos técnicos.
- La monitorización de las comunicaciones les permite adaptarse a las defensas adversas, aumentando la efectividad de sus ataques.
Índice
- 1. Introducción
- 2. Métodos de ataque de Scattered Spider
- 3. Técnicas de ingeniería social
- 4. Captura de sesión y persistencia
- 5. Vulnerabilidades humanas
- 6. Referencias
1. Introducción
Desde noviembre del año 2023, la CISA (Agencia de Seguridad Cibernética y de la Infraestructura de EE.UU.) junto con el FBI han estado llevando a cabo una investigación sobre el grupo de ciberdelincuentes conocido como «Scattered Spider». Sin embargo, sus primeras actividades maliciosas se remontan a mediados de 2022. La sofisticación de sus ataques, dirigidos a grandes corporaciones, proveedores tecnológicos y operadores de infraestructuras críticas, llevó a que las agencias federales emitieran alertas formales. Desde esa fecha, este grupo ha estado bajo vigilancia internacional.
2. Métodos de ataque de Scattered Spider
En julio de 2025, CISA y el FBI, en colaboración con agencias de Canadá, el Reino Unido y Australia, publicaron una versión actualizada de su informe de seguridad, el cual integra las tácticas observadas hasta junio de 2025. Desde su identificación inicial, este grupo ha evolucionado de forma significativa, perfeccionando sus técnicas de ingeniería social y capacidades de despliegue de ransomware. Esto representa un riesgo aumentativo, ya que combina métodos tradicionales de ingeniería social con técnicas avanzadas para comprometer objetivos de alto valor.
3. Técnicas de ingeniería social
Scattered Spider no se enfoca exclusivamente en el robo de datos. Implementan tácticas de extorsión que integran la información robada con cifrado mediante ransomware, lo que maximiza el impacto financiero sobre sus víctimas. Los investigadores de la CISA han identificado el ransomware DragonForce en su repertorio, lo que señala un incremento en su capacidad de amenaza al combinarlo con métodos convencionales de exfiltración de datos.
¿Qué distingue a Scattered Spider de otros grupos de ciberdelincuentes? Su singularidad radica no solo en su destreza técnica, sino también en su especialización en ingeniería social, una área que han desarrollado meticulosamente para cada contexto. Su acceso inicial apunta a empleados y personal de soporte técnico a través de campañas de phishing. A diferencia de las tentativas masivas comunes, estos ataques son personalizados, construidos con información recabada de sitios corporativos, redes sociales y otras fuentes de acceso público.
4. Captura de sesión y persistencia
Recientemente, agentes de la CISA han reportado el uso de la técnica de «push bombing» o «MFA bombing», que les permite explotar los sistemas de autenticación multifactor. Además, recurren al secuestro de tarjetas SIM para llevar a cabo suplantaciones de identidad. Una vez logran el acceso, registran sus propios tokens MFA, lo que les permite mantener la persistencia incluso tras cambios de contraseñas. Para asegurar esta continuidad, utilizan herramientas de monitorización legítimas como TeamViewer o AnyDesk. También han desarrollado versiones personalizadas de malware, como RattyRAT, un troyano de acceso remoto basado en Java, que asegura un acceso sigiloso y persistente para la recolección de información interna.
Su capacidad de monitorizar comunicaciones internas ha llegado incluso a permitirles unirse a llamadas relacionadas con la respuesta a incidentes, lo que les facilita ajustar sus tácticas en función de las defensas adversas, reduciendo drásticamente la efectividad de los métodos de mitigación tradicionales.
5. Vulnerabilidades humanas
El peligro que representa Scattered Spider no proviene solo de sus herramientas, sino de su habilidad para explotar las «vulnerabilidades humanas». En un entorno donde el MFA, las soluciones en la nube y las herramientas de colaboración son comunes, el verdadero reto no es únicamente técnico, sino también cultural. Es fundamental aprender a reconocer la «telaraña» antes de quedar atrapado en ella.
6. Referencias
- CISA – Agencia de Seguridad Cibernética y de la Infraestructura
- FBI – Oficina Federal de Investigación
- Reuters – Noticias de Seguridad