Las alianzas entre grupos de hackers no son nuevas, pero cuando dos de los más activos y peligrosos deciden unir fuerzas, el impacto puede ser devastador. Eso es lo que está ocurriendo ahora con ShinyHunters y Scattered Spider, quienes han comenzado a coordinarse en ataques de extorsión y robo de datos, afectando principalmente a clientes de Salesforce y con la mira puesta en sectores como el financiero y el tecnológico.
Un cambio de táctica preocupante
Según un informe de ReliaQuest, ShinyHunters está dejando atrás su estrategia habitual de robo de credenciales y explotación de bases de datos para adoptar métodos más agresivos y sofisticados, muy similares a los de Scattered Spider. Entre ellos:
- Vishing (phishing por voz) dirigido a empleados clave.
- Ingeniería social para engañar y conseguir acceso a sistemas críticos.
- Aplicaciones falsas que se hacen pasar por herramientas legítimas.
- Páginas de phishing que imitan a Okta para robar credenciales.
- Uso de VPN para ocultar la exfiltración de datos.
ShinyHunters, activo desde 2020, es conocido por filtrar información de grandes corporaciones en foros de cibercrimen como RaidForums o BreachForums, donde incluso llegó a tener un rol como administrador. Tras varios cierres y reaperturas del foro, el grupo ha centrado su actividad en atacar instancias de Salesforce en todo el mundo.
Conoce más: Los 10 Mejores Foros de la Deep Web y la Dark Web
Un historial que habla por sí solo
ShinyHunters
Activo desde 2020, ha protagonizado filtraciones masivas de empresas multinacionales, vendiendo la información robada en foros como RaidForums y BreachForums, donde incluso actuaron como administradores.
Scattered Spider
Es conocido por su capacidad de infiltración a través de ingeniería social y ataques a sistemas de autenticación, además de tener vínculos con colectivos como LAPSUS$ y The Com.
En los últimos meses, la actividad de ambos ha coincidido de forma llamativa en ataques contra sectores como el retail, seguros, aviación y, más recientemente, con un aumento del 12 % en el registro de dominios dirigidos a banca y servicios financieros.
Una red criminal más grande de lo que parece
La conexión entre estos grupos no es casualidad. Scattered Spider y LAPSUS$ forman parte de un colectivo más amplio conocido como The Com, una red de ciberdelincuentes experimentados que combinan ataques virtuales con delitos físicos, incluyendo el SIM swapping y la extorsión directa.
El 8 de agosto apareció un canal de Telegram llamado scattered lapsu$ hunters, en el que se relacionaban ShinyHunters, Scattered Spider y LAPSUS$. Allí incluso aseguraban estar trabajando en un ransomware-as-a-service llamado ShinySp1d3r, con la ambición de competir contra grupos como LockBit. Sin embargo, el canal desapareció tres días después.
Objetivos y sectores en la mira
ReliaQuest ha detectado un patrón claro: páginas de phishing temáticas y dominios diseñados para robar credenciales de Salesforce, apuntando a grandes empresas de sectores como retail, seguros y aviación. Además, se han identificado más de 700 dominios registrados en 2025 que coinciden con el estilo de ataque de Scattered Spider, y desde julio el interés en empresas financieras ha crecido un 12%, mientras que el foco en firmas tecnológicas ha caído un 5%.
Las coincidencias en el tipo de víctimas, la infraestructura usada y hasta los alias en foros de cibercrimen respaldan la hipótesis de que esta colaboración entre grupos lleva más de un año gestándose.
Se asume que están preparando nuevas campañas contra empresas de alto perfil, especialmente en sectores críticos. De confirmarse la cooperación a largo plazo entre ambos grupos, podríamos estar ante una ofensiva coordinada que combine la especialización en ingeniería social de Scattered Spider con la capacidad de filtración y monetización de datos de ShinyHunters.
Conoce más sobre: Robo de Datos en Salesforce Afecta a Google, Adidas, Chanel y más
Conclusión
La unión de ShinyHunters y Scattered Spider no es una amenaza cualquiera: es una señal clara de que los grupos de cibercrimen están combinando fuerzas para ser más efectivos y peligrosos. Reforzar la verificación de accesos, endurecer las políticas de uso de aplicaciones conectadas a plataformas críticas como Salesforce y formar a tu equipo para detectar intentos de ingeniería social, especialmente por teléfono o aplicaciones falsas; ya no es solo una alternativa, es una necesidad.
En TecnetOne, como especialistas en ciberseguridad, podemos ayudarte a implementar estrategias de protección que incluyan simulaciones de phishing, monitoreo de accesos y medidas proactivas para que tu negocio no sea el siguiente titular.
