Check Point Research, empresa global en soluciones de ciberseguridad, ha desvelado nuevos indicadores de ataque vinculados al grupo de ciberamenazas conocido como Scattered Spider. Este grupo, caracterizado por su alto grado de sofisticación en técnicas de ingeniería social, ha ampliado su radio de acción más allá del entorno empresarial, dirigiéndose ahora con intensidad hacia el sector de la aviación.

En las últimas semanas, diversos medios y agencias de inteligencia han vinculado a Scattered Spider con ciberataques dirigidos a aerolíneas internacionales. Uno de los incidentes más graves ha sido el ataque a Qantas este mismo mes, en el que se expusieron datos de seis millones de clientes. Entre las tácticas empleadas se encuentran el uso abusivo del segundo factor de autenticación (MFA fatigue) y la suplantación telefónica (vishing), ambas asociadas históricamente a este grupo. Casos similares han afectado a compañías como Hawaiian Airlines y WestJet, destacando la necesidad urgente de reforzar los controles de seguridad en proveedores externos del sector aéreo.

Check Point Research ha identificado más de 500 dominios vinculados a campañas de Scattered Spider, cuya estructura imita portales legítimos de acceso corporativo para engañar a empleados y obtener sus credenciales. Algunos de los patrones más comunes incluyen:

• nombredevíctima-sso.com
• nombredevíctima-servicedesk.com
• nombredevíctima-okta.com

Ejemplos observados en esta infraestructura de phishing incorporan: chipotle-sso[.]com, gemini-servicedesk[.]com y hubspot-okta[.]com. Aunque no todos estos dominios han sido confirmados como maliciosos, su similitud con los métodos del grupo sugiere un alto riesgo de uso en campañas de phishing. Esta estrategia evidencia el enfoque oportunista del grupo, que se adapta a vulnerabilidades de alto valor en distintos sectores como tecnología, retail, aviación, manufactura, servicios financieros y plataformas empresariales.

Según inteligencia pública, Scattered Spider está activo desde al menos 2022 y está compuesto en su mayoría por individuos jóvenes (de 19 a 22 años), originarios de EE. UU. y Reino Unido. Sus ataques, de motivación económica, se centran en el robo de credenciales, ransomware y accesos a infraestructuras en la nube. Utilizan técnicas avanzadas de ingeniería social como el phishing dirigido, SIM swapping, el abuso del MFA (“push bombing”), la suplantación por SMS y teléfono, así como la manipulación de empleados para instalar herramientas de acceso remoto o aprobar solicitudes de autenticación.

Las herramientas empleadas por el grupo incluyen plataformas como Fleetdeck.io, Level.io, Ngrok, Pulseway, ScreenConnect, Splashtop, Tactical RMM, Tailscale, TeamViewer y Mimikatz. También se ha identificado el uso de malware como WarZone RAT, Raccoon Stealer y Vidar Stealer, además de ransomware como BlackCat / ALPHV bajo el modelo Ransomware-as-a-Service.

Con el objetivo de mitigar esta amenaza, Check Point Research recomienda las siguientes estrategias de defensa adaptadas tanto a empresas como al sector de la aviación:

Para empresas:

• Monitorizar de forma continua los registros de dominios y bloquear aquellos sospechosos que sigan patrones vinculados a Scattered Spider.
• Realizar formaciones internas y simulaciones específicas centradas en el abuso del MFA y el vishing.
• Implementar soluciones de autenticación inteligente con detección de anomalías de comportamiento.
• Asegurar una protección sólida de los endpoints con herramientas de detección y respuesta avanzadas (EDR).

Para organizaciones del sector de la aviación:

• Auditar a los proveedores de servicios, especialmente centros de atención al cliente, en cuanto a controles de acceso y madurez de seguridad.
• Exigir verificaciones de identidad multifactor para reinicios de contraseña y solicitudes relacionadas con MFA.
• Establecer manuales de respuesta ante incidentes adaptados a fugas de datos sensibles, como los de pasajeros y plataformas de fidelización.

“Los ataques de Scattered Spider reflejan cómo los grupos de amenazas más avanzados perfeccionan técnicas de ingeniería social para comprometer infraestructuras críticas, especialmente en sectores estratégicos como el de la aviación”, afirma Rafael López, ingeniero de seguridad especializado en protección de correo electrónico de Check Point Software. “Ante riesgos emergentes como estos, es fundamental anticiparse con soluciones de ciberseguridad capaces de detectar, prevenir y responder en tiempo real. Plataformas como Harmony Email & Collaboration, Harmony Endpoint o CloudGuard nos permiten proteger el correo, los dispositivos y los entornos multi-nube frente a campañas cada vez más sofisticadas, mientras que Infinity ThreatCloud AI y Quantum Security Gateway aportan inteligencia proactiva y protección escalable para blindar a las organizaciones desde todos los frentes”.