El panorama del cibercrimen evoluciona a una velocidad vertiginosa, y pocos grupos lo demuestran tan bien como Scattered Spider. Conocidos por sus audaces tácticas de ingeniería social y ataques implacables, esta banda cibernética ha puesto recientemente su mira en grandes comercios del Reino Unido y Estados Unidos, dejando tras de sí una estela de disrupción… y un recordatorio urgente de la importancia de una ciberseguridad robusta. Desde Marks & Spencer hasta una gran cadena minorista estadounidense, los últimos movimientos de Scattered Spider —detallados en un reciente informe de The Register— destacan su sofisticación y la necesidad imperiosa de que las organizaciones refuercen sus defensas.
La Amenaza de Scattered Spider
Scattered Spider, también identificado como UNC3944 u Octo Tempest, no es un grupo cibercriminal cualquiera. Formado por jóvenes hackers angloparlantes, principalmente de Estados Unidos y Reino Unido, operan dentro de una comunidad más amplia conocida como the Com. Desde su aparición en 2022, el grupo ha ganado reputación por su ingenio, rapidez y capacidad para pasar desapercibido. Ya han sido vinculados a ataques de alto perfil contra MGM Resorts, Caesars Entertainment y más recientemente, contra el sector minorista.
Su arma predilecta: la ingeniería social. En un caso revelador, Jon DiMaggio, exanalista de la NSA, escuchó a un miembro del grupo suplantar a un empleado real de una cadena estadounidense. Con un nivel de detalle alarmante —correo corporativo, fecha de contratación, identificador de empleado y hasta un número telefónico creíble—, el impostor logró engañar fácilmente al interlocutor. “Esos tipos son buenos”, admitió DiMaggio. El acceso previo a información sensible, probablemente extraída mediante ataques previos, vuelve casi indetectables sus ofensivas.
El Comercio Bajo Asedio
El sector minorista se ha convertido en el nuevo campo de batalla. En el Reino Unido, Marks & Spencer fue víctima de un ataque de ransomware con la cepa DragonForce, que paralizó partes clave de su infraestructura. Co-op, otro peso pesado del retail británico, logró esquivar un desastre al desconectar preventivamente sus sistemas. “Tomamos medidas tempranas y decisivas para restringir el acceso”, declaró un portavoz de la cadena, subrayando la rapidez como factor de éxito. Incluso Harrods reportó un intento de intrusión, marcando una escalada sistemática de ataques contra el comercio británico.
En Estados Unidos, la amenaza persiste. Aunque los nombres no se han revelado, las descripciones apuntan a gigantes del sector. DiMaggio describe uno de los objetivos como “una gran organización minorista” con un equipo de ciberseguridad de élite, compuesto por antiguos analistas de inteligencia y agentes de cuerpos policiales. Esa experiencia fue crucial para frustrar el ataque, pero no todas las empresas tienen ese lujo. Como advirtió Charles Carmakal, CTO de Mandiant: “Son ingeniosos, inteligentes y rápidos”. Su estrategia: generar tal volumen de alertas (restablecimientos de contraseñas, herramientas, actividad sospechosa) que incluso los defensores mejor preparados queden paralizados.
Tácticas que Superan a los Defensores
El modus operandi de Scattered Spider se asemeja más a una operación militar que a un ciberataque común. Explotan vulnerabilidades conocidas como CVE-2015-2291, espían comunicaciones internas en plataformas como Slack, y llegan a infiltrarse en llamadas de crisis durante incidentes. Han colaborado con grupos de ransomware como ALPHV/BlackCat, amplificando su impacto y ganando notoriedad entre el crimen organizado digital.
El FBI ha documentado una lista negra de sus técnicas: phishing, SIM swapping, ataques de fatiga contra MFA, y suplantación de soporte técnico. Tácticas que, combinadas con un amplio conocimiento interno de las organizaciones, permiten sortear defensas convencionales. “Sabes que están atacando cuando el soporte técnico recibe una oleada de llamadas para restablecer contraseñas”, explicó Carmakal. Frente a ese volumen, algunos equipos de respuesta simplemente optan por desconectar los sistemas, evitando el daño pero interrumpiendo operaciones.
Contraataque: Fuerzas del Orden y Resiliencia Organizativa
Las autoridades no se han quedado de brazos cruzados. En noviembre de 2024, el Departamento de Justicia de EE. UU. acusó a cinco miembros del grupo por ataques que robaron millones en criptomonedas. Entre los detenidos: Tyler Buchanan, de 23 años, extraditado desde España. Otro arrestado fue un menor de 17 años en Reino Unido, aunque el caso sigue en curso.
Estos avances son importantes, pero la descentralización del grupo y su cultura de colaboración en “the Com” complican su desarticulación definitiva. Mientras tanto, las organizaciones aprenden a adaptarse. La respuesta proactiva de Co-op y la defensa orquestada por el equipo de expertos en EE. UU. muestran que la preparación, la vigilancia y la agilidad operativa siguen siendo nuestras mejores armas.
Pero no todas las empresas tienen los mismos recursos. Es imperativo que incluso las pymes implementen:
- Programas de concienciación en ingeniería social.
- Soluciones de detección de endpoints avanzada (EDR/XDR).
- Planes actualizados de respuesta ante incidentes.
- Colaboración directa con proveedores de inteligencia de amenazas.
Una Llamada a la Acción para el Comercio y Más Allá
El asedio de Scattered Spider es una llamada de atención para todos los sectores. Su capacidad para adaptarse, persistir y operar con inteligencia casi interna exige una evolución inmediata en las defensas corporativas. Los minoristas y otras organizaciones no pueden permitirse ver la ciberseguridad como un gasto más: es una inversión estratégica que protege datos, reputación y operaciones.
En QuantumSec, creemos que la resiliencia digital no es opcional. El coste de prevenir es insignificante comparado con el de recuperar. Y aunque Scattered Spider representa una amenaza formidable, también es una oportunidad para fortalecer nuestros cimientos. Con decisión, colaboración y una visión clara, es posible revertir la balanza incluso ante adversarios de este calibre.
Para más información sobre cómo proteger tu organización de amenazas cibernéticas avanzadas, sigue el blog de QuantumSec y participa en nuestros próximos seminarios web especializados.
Fuentes:
- The Register, "Ex-NSA bad-guy hunter listened to Scattered Spider's fake help-desk calls: 'Those guys are good'" (18 de mayo de 2025)
- The Guardian, "Scattered Spider hackers in UK are ‘facilitating’ cyber-attacks, says Google" (16 de mayo de 2025)
- BleepingComputer, "US charges five linked to Scattered Spider cybercrime gang" (Noviembre de 2024)
- CISA, "Scattered Spider Cybersecurity Advisory" (2023)