Scattered Spider intensifica ataques contra el sector financiero pese a anunciar su retirada

Introducción

El grupo cibercriminal Scattered Spider, también conocido como UNC3944, ha vuelto a situarse en el epicentro de la preocupación para el sector financiero. Pese a sus recientes declaraciones sobre una supuesta desactivación de sus operaciones, nuevas investigaciones de la firma de inteligencia de amenazas ReliaQuest revelan un incremento significativo en la actividad dirigida a entidades financieras. Este resurgimiento, evidenciado por la proliferación de dominios falsificados y tácticas avanzadas de intrusión, pone en entredicho la credibilidad del grupo sobre su “desaparición” y obliga a reforzar la vigilancia y los controles de seguridad en el sector.

Contexto del Incidente

Scattered Spider es conocido por sus sofisticadas campañas de acceso inicial y su capacidad para explotar debilidades en la cadena de suministro, con un historial de ataques a grandes corporaciones de telecomunicaciones, tecnología y, más recientemente, el sector financiero. A lo largo de 2023 y principios de 2024, el grupo ha empleado técnicas de ingeniería social, phishing y explotación de vulnerabilidades zero-day para comprometer cuentas privilegiadas y obtener acceso lateral a infraestructuras críticas.

Según ReliaQuest, en las últimas semanas se ha detectado un aumento notable en la creación de dominios “lookalike” —webs fraudulentas que imitan a entidades financieras legítimas—, lo que indica una campaña masiva de recolección de credenciales y despliegue de ataques dirigidos a bancos, aseguradoras y plataformas de pago. Este giro estratégico coincide con el endurecimiento de los requisitos regulatorios, como NIS2 y la aplicación estricta del GDPR en materia de protección de datos y notificación de brechas.

Detalles Técnicos

– **Identificadores CVE y vectores de ataque:** Aunque no se ha confirmado la explotación de una vulnerabilidad específica en esta oleada, Scattered Spider ha utilizado históricamente exploits asociados a CVE-2022-30190 (Follina) y CVE-2023-23397 (Microsoft Outlook), así como técnicas de phishing altamente personalizadas.
– **Tácticas, Técnicas y Procedimientos (TTP):** El grupo destaca por su uso de TTPs del framework MITRE ATT&CK, especialmente TA0001 (Initial Access) mediante spear phishing y TA0006 (Credential Access) a través de herramientas como Mimikatz y scripts de PowerShell obfuscados.
– **Indicadores de Compromiso (IoC):** Se han identificado más de 60 dominios “lookalike” activos, con patrones de nomenclatura que simulan portales de banca online y servicios de autenticación multifactor.
– **Herramientas y frameworks:** ReliaQuest ha observado el uso reiterado de Cobalt Strike para el post-explotación y el movimiento lateral, así como la integración de Metasploit para el escalado de privilegios y la exfiltración de información sensible.

Impacto y Riesgos

El impacto potencial de esta campaña es elevado. Las entidades financieras afectadas pueden sufrir desde la filtración de credenciales y datos personales de clientes hasta la interrupción de servicios críticos y pérdidas económicas directas. Según datos de IBM Security, el coste medio de una brecha en el sector financiero supera los 5,9 millones de euros en 2024, cifra que puede incrementarse exponencialmente en caso de incidentes de ransomware o fraude a gran escala.

Además, la exposición pública de datos personales bajo la normativa GDPR puede acarrear sanciones administrativas de hasta el 4% de la facturación global anual, mientras que la directiva NIS2 exige notificar incidentes en menos de 24 horas y documentar exhaustivamente las acciones de mitigación.

Medidas de Mitigación y Recomendaciones

– **Refuerzo de autenticación multifactor (MFA):** Priorizar la adopción de soluciones MFA robustas y evitar métodos basados únicamente en SMS o correo electrónico.
– **Monitorización de dominios lookalike:** Implementar servicios de vigilancia de dominios y alertas sobre nuevos registros sospechosos relacionados con la marca.
– **Concienciación y formación:** Actualizar los programas de formación interna sobre ingeniería social, phishing y procedimientos de reporte de incidentes.
– **Parcheo diligente:** Mantener un ciclo de actualización de sistemas, especialmente para aplicaciones de correo y acceso remoto.
– **Revisión de logs e IoC:** Integrar los IoC identificados por ReliaQuest en los sistemas SIEM y EDR para detección temprana.
– **Simulacros de respuesta:** Realizar ejercicios de Red Team y tabletop para preparar la respuesta ante campañas dirigidas.

Opinión de Expertos

Expertos del sector subrayan la capacidad de adaptación de Scattered Spider y la sofisticación de sus ataques. Según Elena Cifuentes, analista principal de amenazas en S21sec, “la resiliencia de estos grupos y su especialización en ingeniería social los sitúa como una de las amenazas más relevantes frente al endurecimiento regulatorio. La colaboración entre entidades y el intercambio de inteligencia es clave para frenar su avance”.

Implicaciones para Empresas y Usuarios

Las empresas deben revisar sus políticas de gestión de identidades y accesos, reforzar los controles de acceso a información sensible y establecer canales de comunicación seguros con sus clientes. Los usuarios finales, por su parte, enfrentan un incremento de intentos de phishing y suplantación de identidad, lo que requiere una mayor cautela al interactuar con supuestas comunicaciones bancarias.

Conclusiones

El resurgimiento de Scattered Spider contra el sector financiero evidencia la naturaleza dinámica y persistente de las ciberamenazas. El anuncio de “retirada” del grupo ha resultado ser, en el mejor de los casos, una maniobra de distracción. La vigilancia continua, la actualización de controles técnicos y procedimentales, y la cooperación intersectorial serán esenciales para mitigar el riesgo y garantizar la resiliencia frente a futuras campañas.

(Fuente: feeds.feedburner.com)