{"id":677,"date":"2026-04-27T15:01:50","date_gmt":"2026-04-27T15:01:50","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/27\/blackfile-extorsiona-activamente-a-victimas-de-robo-de-datos-en-el-sector-minorista-y-hotelero\/"},"modified":"2026-04-27T15:01:50","modified_gmt":"2026-04-27T15:01:50","slug":"blackfile-extorsiona-activamente-a-victimas-de-robo-de-datos-en-el-sector-minorista-y-hotelero","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/04\/27\/blackfile-extorsiona-activamente-a-victimas-de-robo-de-datos-en-el-sector-minorista-y-hotelero\/","title":{"rendered":"BlackFile extorsiona activamente a v\u00edctimas de robo de datos en el sector minorista y hotelero"},"content":{"rendered":"
\n

Los investigadores advierten que BlackFile, un grupo de extorsi\u00f3n probablemente asociado con The Com, contin\u00faa haci\u00e9ndose pasar por el soporte de TI en ataques de phishing de voz e ingenier\u00eda social que han impactado a organizaciones en m\u00faltiples industrias, incluidas la atenci\u00f3n m\u00e9dica, la tecnolog\u00eda, el transporte, la log\u00edstica, el comercio mayorista y minorista.<\/p>\n

Los atacantes han estado activamente Dirigido a organizaciones del sector minorista y hotelero.<\/a> industria desde febrero, seg\u00fan la \u00faltima inteligencia de la Unidad 42 sobre la campa\u00f1a, que el Centro de an\u00e1lisis e intercambio de informaci\u00f3n de comercio minorista y hoteler\u00eda (RH-ISAC) public\u00f3 junto con indicadores de compromiso el jueves.<\/p>\n

El grupo de amenazas, que tambi\u00e9n se rastrea como CL-CRI-1116, UNC6671 y Cordial Spider, parece estar apuntando a las v\u00edctimas de manera oportunista en una campa\u00f1a que permanece activa y en curso, dijo a CyberScoop Matt Brady, investigador principal senior de la Unidad 42 de Palo Alto Networks. <\/p>\n

\u00abEl objetivo principal de estos actores de amenazas es presionar a las organizaciones objetivo para que paguen grandes demandas de rescate, generalmente en el rango de siete cifras\u00bb, dijo Brady.<\/p>\n

La Unidad 42 se neg\u00f3 a decir cu\u00e1ntas organizaciones se han visto afectadas hasta el momento y RH-ISAC no respondi\u00f3 a una solicitud de comentarios.<\/p>\n

Los ataques de BlackFile contra empresas del sector minorista y hotelero son parte de una ola m\u00e1s amplia de ataques de phishing de voz iniciados por m\u00faltiples grupos de ciberdelincuencia, que Grupo de inteligencia sobre amenazas de Google<\/a> y Okta<\/a> advirti\u00f3 en enero. <\/p>\n

La Unidad 42 tambi\u00e9n se\u00f1al\u00f3 que las actividades de BlackFile se superponen con una campa\u00f1a de extorsi\u00f3n y robo de datos en curso que CrowdStrike ha estado siguiendo como Ara\u00f1a cordial<\/a> desde al menos octubre de 2025.<\/p>\n

Sin embargo, las t\u00e1cticas del grupo amenazador han estado lejos de ser cordiales. RH-ISAC dijo que algunos atacantes han aplastado al personal de la empresa, incluidos los ejecutivos, para aumentar su influencia y presionar a las v\u00edctimas para que paguen sus demandas de rescate. <\/p>\n

El grupo de amenazas atrae a las v\u00edctimas mediante ataques de phishing de voz y p\u00e1ginas de phishing que imitan servicios corporativos de inicio de sesi\u00f3n \u00fanico para robar credenciales antes de pasar a cuentas privilegiadas. <\/p>\n

\u00abBuscan directorios internos de empleados para obtener listas de contactos de ejecutivos\u00bb, escribi\u00f3 RH-ISAC en una publicaci\u00f3n de blog. \u00abAl comprometer estas cuentas senior a trav\u00e9s de ingenier\u00eda social adicional, obtienen acceso persistente y de amplio espectro al entorno que refleja la actividad leg\u00edtima de las sesiones ejecutivas\u00bb.<\/p>\n

El acceso no autorizado y el robo de datos del grupo para actividades de extorsi\u00f3n abarcan entornos SaaS, permisos de la API de Microsoft Graph, acceso a la API de Salesforce, repositorios internos, sitios de SharePoint y conjuntos de datos que contienen n\u00fameros de tel\u00e9fono y registros comerciales de los empleados. <\/p>\n

BlackFile tambi\u00e9n cre\u00f3 un sitio de filtraci\u00f3n de datos para extorsionar a las v\u00edctimas que, seg\u00fan afirma, ignoraron o no aceptaron sus demandas, seg\u00fan los investigadores. <\/p>\n

Brady dijo que la Unidad 42 ha observado una actividad relativamente constante del grupo de amenaza desde febrero. <\/p>\n

RH-ISAC aconseja a las organizaciones gestionar la verificaci\u00f3n de identidad de m\u00faltiples factores para las personas que llaman y limitar las acciones de soporte de TI que se pueden completar en una sola llamada sin escalar a la administraci\u00f3n.<\/p>\n