{"id":734,"date":"2026-05-01T15:38:19","date_gmt":"2026-05-01T15:38:19","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/05\/01\/grupos-de-ciberdelincuencia-utilizan-vishing-y-abuso-de-sso-en-ataques-rapidos-de-extorsion-saas-cyberdefensa-mx\/"},"modified":"2026-05-01T15:38:19","modified_gmt":"2026-05-01T15:38:19","slug":"grupos-de-ciberdelincuencia-utilizan-vishing-y-abuso-de-sso-en-ataques-rapidos-de-extorsion-saas-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/05\/01\/grupos-de-ciberdelincuencia-utilizan-vishing-y-abuso-de-sso-en-ataques-rapidos-de-extorsion-saas-cyberdefensa-mx\/","title":{"rendered":"Grupos de ciberdelincuencia utilizan Vishing y abuso de SSO en ataques r\u00e1pidos de extorsi\u00f3n SaaS \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Los investigadores de ciberseguridad advierten sobre dos grupos de ciberdelincuentes que est\u00e1n llevando a cabo \u00abataques r\u00e1pidos y de alto impacto\u00bb que operan casi dentro de los l\u00edmites de los entornos SaaS, dejando m\u00ednimos rastros de sus acciones.<\/p>\n

Los racimos, Ara\u00f1a cordial<\/a><\/strong> (tambi\u00e9n conocido como BlackFile, CL-CRI-1116, O-UNC-045 y UNC6671) y Ara\u00f1a sarc\u00e1stica<\/a><\/strong> (tambi\u00e9n conocidos como O-UNC-025 y UNC6661), se han atribuido a campa\u00f1as de extorsi\u00f3n y robo de datos de alta velocidad que comparten un grado notable de similitudes operativas. Se estima que ambos grupos de piratas inform\u00e1ticos est\u00e1n activos desde al menos octubre de 2025, y este \u00faltimo es un equipo nativo de habla inglesa que comparte v\u00ednculos con el ecosistema de delitos electr\u00f3nicos conocido como The Com.<\/p>\n

\u00abEn la mayor\u00eda de los casos, estos adversarios utilizan el phishing de voz (vishing) para dirigir a los usuarios espec\u00edficos a p\u00e1ginas maliciosas de adversario en el medio (AiTM) con tem\u00e1tica de SSO, donde capturan datos de autenticaci\u00f3n y pivotan directamente hacia aplicaciones SaaS integradas con SSO\u00bb, Counter Adversary Operations de CrowdStrike. dicho<\/a> en un informe.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abAl operar casi exclusivamente dentro de entornos SaaS confiables, minimizan su huella y aceleran el tiempo de impacto. La combinaci\u00f3n de velocidad, precisi\u00f3n y actividad exclusivamente SaaS crea importantes desaf\u00edos de detecci\u00f3n y visibilidad para los defensores\u00bb.<\/p>\n

En un informe publicado en enero de 2026, Mandiant, propiedad de Google, revel\u00f3 que los dos grupos representan una expansi\u00f3n en la actividad de amenazas que emplea t\u00e1cticas consistentes con ataques con temas de extorsi\u00f3n llevados a cabo por el grupo ShinyHunters. Esto implica hacerse pasar por personal de TI en llamadas para enga\u00f1ar a las v\u00edctimas y obtener sus credenciales y c\u00f3digos de autenticaci\u00f3n multifactor (MFA) dirigi\u00e9ndolas a p\u00e1ginas de phishing.<\/p>\n\n\n\n\n
\"\"<\/a><\/td>\n<\/tr>\n
Snarky Spider comienza la exfiltraci\u00f3n en menos de una hora<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Tan recientemente como la semana pasada, la Unidad 42 de Palo Alto Networks y el Centro de an\u00e1lisis e intercambio de informaci\u00f3n de comercio minorista y hoteler\u00eda (RH-ISAC) juzgado<\/a> con una confianza moderada en que los atacantes detr\u00e1s de CL-CRI-1116 probablemente tambi\u00e9n est\u00e9n asociados con The Com, agregando que las intrusiones se basan principalmente en t\u00e9cnicas de vida fuera de la tierra (LotL), as\u00ed como tambi\u00e9n utilizan proxies residenciales para ocultar su ubicaci\u00f3n geogr\u00e1fica y eludir los filtros de reputaci\u00f3n b\u00e1sicos basados \u200b\u200ben IP.<\/p>\n

\u00abLa actividad CL-CRI-1116 se ha dirigido activamente al espacio minorista y hotelero desde febrero de 2026, aprovechando espec\u00edficamente los ataques de vishing que se hacen pasar por personal de la mesa de ayuda de TI en combinaci\u00f3n con sitios de inicio de sesi\u00f3n de phishing para robar credenciales\u00bb, dijeron los investigadores Lee Clark, Matt Brady y Cuong Dinh.<\/p>\n

Se sabe que los ataques montados por los dos grupos registran un nuevo dispositivo para eludir MFA y mantener el acceso comprometido, pero no antes de eliminar los dispositivos existentes, despu\u00e9s de lo cual los actores de amenazas act\u00faan para suprimir las notificaciones autom\u00e1ticas por correo electr\u00f3nico relacionadas con el registro de dispositivos no autorizados configurando reglas de bandeja de entrada que eliminan autom\u00e1ticamente dichos mensajes.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

La siguiente etapa implica centrarse en cuentas con altos privilegios mediante una mayor ingenier\u00eda social mediante la extracci\u00f3n de directorios internos de empleados. Al volver a tener acceso elevado, los adversarios irrumpen en entornos SaaS objetivo para buscar archivos de alto valor e informes cr\u00edticos para el negocio en Google Workspace, HubSpot, Microsoft SharePoint y Salesforce, y luego extraen datos de inter\u00e9s a la infraestructura bajo su control.<\/p>\n

\u00abEn la mayor\u00eda de los casos observados, estas credenciales otorgan acceso al proveedor de identidad (IdP) de la organizaci\u00f3n, proporcionando un \u00fanico punto de entrada a m\u00faltiples aplicaciones SaaS\u00bb, dijo CrowdStrike. \u00abAl abusar de la relaci\u00f3n de confianza entre el IdP y los servicios conectados, los adversarios evitan la necesidad de comprometer aplicaciones SaaS individuales y, en cambio, se mueven lateralmente a trav\u00e9s de todo el ecosistema SaaS de la v\u00edctima con una \u00fanica sesi\u00f3n autenticada\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Los investigadores de ciberseguridad advierten sobre dos grupos de ciberdelincuentes que est\u00e1n llevando a cabo \u00abataques r\u00e1pidos y de alto impacto\u00bb que operan casi dentro de los l\u00edmites de los entornos SaaS, dejando m\u00ednimos rastros de sus acciones. Los racimos, Ara\u00f1a cordial (tambi\u00e9n conocido como BlackFile, CL-CRI-1116, O-UNC-045 y UNC6671) y Ara\u00f1a sarc\u00e1stica (tambi\u00e9n conocidos […]<\/p>\n","protected":false},"author":1,"featured_media":731,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[358,233,443,24,895,585,2242,301,2241,92,2240],"class_list":["post-734","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-abuso","tag-ataques","tag-ciberdelincuencia","tag-cyberdefensa-mx","tag-extorsion","tag-grupos","tag-rapidos","tag-saas","tag-sso","tag-utilizan","tag-vishing"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/734","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=734"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/734\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/731"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=734"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=734"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=734"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}