Incode invests in privacy-first architecture and acquires Identiq.
Acomenzar

Cuando su mesa de ayuda se convierte en la puerta principal: cómo la araña dispersa está convirtiendo en arma la confianza humana

Incode

June 30, 2025

Cuando su mesa de ayuda se convierte en la puerta principal: cómo la araña dispersa está convirtiendo en arma la confianza humana

El llamado llegó a las 2:47 PM de un martes. Un empleado que afirma ser bloqueado de su cuenta después de perder su teléfono necesitaba ayuda inmediata para acceder a los archivos críticos del proyecto. El técnico de la mesa de ayuda, capacitado para ser útil y receptivo, restablece el Autenticación multifactor token y envió nuevas credenciales a la dirección de correo electrónico de respaldo del empleado.

En cuestión de horas, toda la infraestructura de TI de Marks & Spencer se vio comprometida. El “empleado” no era un empleado en absoluto; era Scattered Spider, un colectivo cibercriminal descentralizado que ha perfeccionado el arte de convertir al personal de TI servicial en cómplices involuntos.

Este no fue un incidente aislado. En las últimas semanas, Scattered Spider ha intensificado sus ataques contra las principales empresas, centrándose particularmente en minoristas, aerolíneas, proveedores de servicios administrados (MSP) y proveedores de TI. El arma preferida del grupo no es el malware sofisticado o los exploits de día cero; es algo mucho más peligroso: nuestro deseo humano fundamental de ayudar.

El nuevo campo de batalla: tu mesa de ayuda

La ciberseguridad tradicional se centra en las defensas técnicas: firewalls, cifrado, protección de punto final. Pero Scattered Spider ha identificado el eslabón más débil incluso en la arquitectura de seguridad más sofisticada: la psicología humana. Sus recientes campañas revelan una evolución preocupante en guerra cibernética, donde los ataques más peligrosos comienzan no con código, sino con conversación.

La táctica más destacada del grupo implica suplantar al personal interno de la mesa de ayuda de TI o a los empleados en apuros. El enfoque es engañosamente simple: Los atacantes contactan a los empleados por teléfono o plataformas como Slack o Microsoft Teams, afirman ser de soporte y crean un sentido de urgencia. A veces inundan los objetivos con spam para agregar autenticidad a su “emergencia”. Luego convencen a las víctimas de instalar herramientas de acceso remoto o, más comúnmente, persuadir al personal real del servicio de asistencia para que restablezca las credenciales o los tokens MFA.

Lo que hace que esto sea particularmente insidioso es cómo explota las mismas cualidades que queremos en nuestros equipos de soporte de TI (capacidad de respuesta, ayuda y empatía). Los atacantes entienden que el personal de la mesa de ayuda está capacitado para resolver problemas rápidamente, especialmente cuando los empleados afirman estar bloqueados de los sistemas críticos.

Más allá de los minoristas: la lista de objetivos en expansión

Si bien los ataques de Scattered Spider a minoristas del Reino Unido como Marks & Spencer fueron titulares, y solo la brecha de M&S causó cientos de millones en lucro cesante—sus ambiciones se extienden mucho más allá del sector minorista. Más recientemente, el grupo ha vuelto su atención a la industria de la aviación, con WestJet y Hawaiian Airlines ambos confirmando ciberataques en junio de 2025. El El FBI emitió una advertencia específicamente sobre Scattered Spider dirigido a compañías de aviación y declaró que están “trabajando activamente con socios de la aviación y de la industria para abordar esta actividad y ayudar a las víctimas”.

El grupo también se dirige sistemáticamente a proveedores de servicios administrados y proveedores de TI, tratar a estas organizaciones como un paso para acceder a los clientes descendentes. Esta estrategia representa un cambio fundamental en su enfoque. En lugar de atacar a las empresas individuales una por una, están apuntando a la infraestructura que soporta múltiples organizaciones. Cuando comprometen un MSP, potencialmente obtienen acceso a docenas o cientos de redes de clientes simultáneamente.

El alcance de su infraestructura es asombroso: los investigadores de seguridad han identificado más de 600 dominios registrados por el grupo, de los cuales el 81% imitan empresas tecnológicas legítimas y portales de mesa de ayuda (por ejemplo, Okta, Microsoft Entra, Zendesk). Esta no es una operación a pequeña escala; es una máquina de engaño diseñada para difuminar las líneas entre las comunicaciones legítimas y maliciosas.

La ilusión de autenticación multifactor

Organizaciones que creyeron autenticación multifactor (MFA) los protegerían están descubriendo una verdad incómoda: el MFA es tan fuerte como los procesos humanos que lo sustentan. Scattered Spider ha desarrollado múltiples técnicas para eludir estas protecciones:

Mesa de Ayuda Ingeniería Social

Los atacantes se hacen pasar por empleados utilizando información personal o credenciales cuidadosamente recopiladas, luego solicitan la contraseña o el restablecimiento de MFA. Citan escenarios plausibles (un teléfono perdido, una contraseña olvidada antes de una presentación importante) y dirigen al personal de la mesa de ayuda para enviar enlaces de reinicio a puntos de contacto controlados por el atacante.

Intercambios de SIM y suplantación de identidad

El grupo continúa utilizando el intercambio de SIM para interceptar códigos MFA basados en SMS mientras implementa sofisticadas campañas de phishing de credenciales, a menudo dirigidas a cuentas de IAM. Han adoptado kits de phishing “Attacker-in-the-Middle” (AitM) como Evilginx para capturar tokens de sesión en vivo, lo que les permite eludir la mayoría de las protecciones MFA en tiempo real.

Fatiga MFA (Bombardeo por empuje)

Quizás lo más preocupante es su uso del spam de notificaciones push para abrumar a los usuarios para que aprueben solicitudes de autenticación maliciosas. Al inundar a los usuarios con indicaciones de autenticación, explotan la psicología humana; eventualmente, alguien hará clic en “aprobar” solo para detener las notificaciones.

La conexión Ransomware

Lo que transforma estos ataques de ingeniería social de molestos a devastadores es Sdispersó la asociación de Spider con las principales operaciones de ransomware, incluidos AlphV/BlackCat y RansomHub. Estas colaboraciones proporcionan al grupo una infraestructura sofisticada, capacidades de implementación de ransomware y servicios profesionales de negociación de ransomware.

Los ataques siguen un patrón predecible: la ingeniería social proporciona acceso inicial, el movimiento lateral rápido identifica objetivos de alto valor y la implementación de ransomware crea la máxima interrupción. El grupo se dirige particularmente a los entornos VMware, entendiendo que la infraestructura de virtualización ofrece el mayor impacto para sus esfuerzos.

En el caso de M&S, los atacantes no solo robaron datos; demostraron cómo la ingeniería social de baja tecnología puede eludir las defensas de alta tecnología para obtener acceso privilegiado. Una vez dentro, tenían el acceso y las herramientas necesarias para causar una interrupción operacional catastrófica.

Señales de advertencia ocultas a plena vista

El aspecto más preocupante del éxito de Scattered Spider es cómo ataca explotar las comunicaciones comerciales normales. Las señales de advertencia existen, pero a menudo se descartan como peculiaridades del trabajo remoto moderno:

  • Empleados que evitar constantemente las videollamadas durante los procesos de verificación
  • Solicitudes urgentes que eluden los procedimientos de autenticación estándar
  • Múltiples solicitudes de restablecimiento de contraseña del mismo usuario en plazos cortos
  • Solicitudes para enviar credenciales a direcciones de correo electrónico personales o aplicaciones de mensajería

Entidades gubernamentales locales e internacionales han emitido advertencias específicas sobre estas tácticas, instando a las organizaciones a fortalecer los procesos de verificación de la mesa de ayuda. Pero las advertencias no son suficientes cuando los ataques explotan la psicología humana fundamental y los procesos de negocios establecidos.

El elemento humano: por qué la tecnología por sí sola no es suficiente

El éxito de Scattered Spider revela una verdad incómoda sobre la ciberseguridad moderna: nuestras defensas técnicas más fuertes son tan efectivas como nuestros procesos humanos más débiles. La capacitación tradicional en seguridad se centra en ayudar a los empleados a identificar correos electrónicos de phishing o sitios web sospechosos. Pero, ¿cómo capacitas a un técnico de mesa de ayuda para que distinga entre un empleado legítimo en apuros y un ingeniero social calificado que ha hecho su tarea?

Los atacantes entienden la psicología organizacional. Saben que el personal de la mesa de ayuda se mide en función de los tiempos de respuesta y la satisfacción del cliente. Aprovechan la presión para resolver problemas rápidamente, el deseo humano natural de ayudar y la suposición de que cualquiera que llame a números internos debe ser legítimo.

Esto representa un desafío fundamental para los profesionales de la seguridad: equilibrar la seguridad con la usabilidad, la verificación con capacidad de respuesta y la paranoia con la productividad. La solución no es hacer que los sistemas sean más difíciles de usar; es para que la verificación sea transparente y automática.

Un nuevo paradigma para la verificación de identidad

La amenaza de la araña dispersa destaca por qué los enfoques tradicionales para la verificación de identidad ya no son suficientes. Cuando los atacantes pueden realizar ingeniería social para superar los procedimientos de la mesa de ayuda y eludir la MFA mediante la manipulación técnica, las organizaciones necesitan métodos de verificación que no se basen únicamente en el juicio humano o en la cooperación del usuario.

La verificación de identidad moderna debe ser:

  • Continuo — No solo al iniciar sesión, sino a lo largo de las sesiones de usuario
  • Biométrico — Basado en características biológicas únicas que no pueden ser fácilmente suplantación
  • Automatizado — Eliminar el juicio humano de las decisiones críticas de seguridad
  • Contextual — Comprender los patrones de comportamiento normales para identificar anomalías

El futuro de la ciberseguridad no se trata de construir muros más altos; se trata de asegurar que las personas dentro de esos muros sean realmente quienes dicen ser.

El impacto económico de la confianza

Las implicaciones financieras de las campañas de Scattered Spider se extienden mucho más allá de los pagos inmediatos de rescate. Las organizaciones se enfrentan a:

  • Interrupción operacional durante la respuesta y recuperación ante incidentes
  • Control reglamentario y posibles sanciones por violaciones de datos
  • Erosión de la confianza del cliente y daño reputacional a largo plazo
  • Implicaciones de seguros a medida que los transportistas se vuelven más sofisticados con respecto a las exclusiones de ingeniería social
  • Desventaja competitiva ya que la información estratégica sensible llega potencialmente a los competidores

Más preocupante es el precedente que sentaron estos ataques. Si la ingeniería social sofisticada puede eludir de manera confiable las inversiones multimillonarias en seguridad, otros grupos criminales inevitablemente adoptarán tácticas similares. Lo que estamos presenciando no es solo una ola de crímenes; es el surgimiento de una nueva metodología de ataque que amenaza la base de la confianza digital.

El camino a seguir

Las campañas de Scattered Spider subrayan que la ciberseguridad ha evolucionado más allá de los controles técnicos tradicionales. Los ataques más peligrosos ahora comienzan con la psicología humana, no con vulnerabilidades de código. Las organizaciones que no adapten sus estrategias de seguridad a esta realidad seguirán siendo víctimas de campañas de ingeniería social cada vez más sofisticadas.

La solución no es eliminar la interacción humana de los procesos del negocio; es aumentar la toma de decisiones humanas con verificación automatizada eso no depende de la cooperación del usuario ni de la honestidad del atacante. Cuando la verificación de identidad se vuelve transparente y automática, la superficie de ataque de ingeniería social desaparece efectivamente.

Para los profesionales de seguridad y líderes empresariales, el mensaje es claro: el eslabón más débil de su cadena de seguridad no es su tecnología; es la suposición de que se puede confiar en las llamadas de voz, las direcciones de correo electrónico y las credenciales de los empleados sin una verificación independiente.

La pregunta no es si su organización se enfrentará a ataques de ingeniería social como los desplegados por Scattered Spider. Es si tendrá los sistemas de verificación en su lugar para reconocerlos antes de que tengan éxito.

Cómo Incode Workforce detiene la ingeniería social en la fuente

Incode Workforce redefine la verificación de identidad empresarial cerrando las brechas que explotan atacantes como Scattered Spider. Al eliminar la discreción humana y las conjeturas de los flujos de trabajo de verificación de identidad, Incode convierte un proceso históricamente vulnerable en un punto de control biométrico endurecido.

La verificación biométrica para cada evento de acceso garantiza que solo el empleado legítimo pueda iniciar acciones de alto riesgo como restablecer contraseñas o cambios de credenciales. Los datos personales robados o el conocimiento interno se vuelven inútiles.

La autenticación continua y pasiva detecta accesos sospechosos o inusuales incluso cuando los atacantes tienen credenciales válidas y detienen las brechas basadas en ingeniería social en curso.

La automatización end-to-end de la prueba de identidad elimina las vulnerabilidades del servicio de asistencia técnica mediante reemplazar la toma de decisiones subjetivas por evidencia biométrica irrefutable.

Con Incode Workforce, la identidad se convierte en un ancla de confianza inmutable. Al automatizar y asegurar todo el ciclo de vida de la identidad, desde la entrevista hasta la incorporación y la recuperación, Incode de manera efectiva borra la superficie de ataque de ingeniería social en los que confían grupos como Scattered Spider.

Más información acerca de cómo Incode protege contra amenazas sofisticadas de identidad.

Recursos Adicionales

The Hacker News — Araña dispersa: Entendiendo los ataques a la mesa de ayuda
Inmersión en ciberseguridad: Spartered Spider se dirige a los MSP y proveedores de TI
Centro Nacional de Ciberseguridad del Reino Unido — Pautas de seguridad de la mesa de ayuda
BleepingComputer — Araña dispersa: Tres cosas que las noticias no te dicen
NBC News — Aerolíneas norteamericanas atacadas por ciberataques

Incode
Incode is a global leader in AI-driven identity and trust, with a mission to power a world of trust at the speed of AI. The platform verifies identity and age, stops fraud, and turns verification into business enablement.
Linkedin
Chapters
Abstract Incode graphic.

Suscríbase a nuestro boletín

Conquista información de expertos sobre el panorama en evolución de la identidad impulsada por la IA
verificación y prevención del fraude.

¡Gracias! ¡Su envío ha sido recibido!
¡Ups! Algo salió mal al enviar el formulario.
Al suscribirse, asíciese nuestro Politica de Privacidad
Incode Technologies, Inc.
101 Mission St, Suite 900,
San Francisco, CA 94105, EE. UU.
Tel: +1 (650) 446-3444
Incode reviews on G2 logo.
Plataforma
Explora la plataforma
Explore Platform
Orchestation Dashboard
Workflow builder
Personalización de la Ul
Decisiones y resultados
Análisis de fraude
Gestión de Casos
Integraciones de plataformas
Nuestra tecnologia
Reeconocimiento facial
Verificación de documentos
Verificación de liveness
OCR
Detección de deepfakes
Incode Network
Casos de uso
Verificación de identidad
Verificación de edad
Cumplimiento KYC/AML
Know Your Business (KYB)
Incode Workforce (KYE)
Verificación de Candidatos
Identidad Agentica
Verificación sin documentos
Industrias
Servicios financieros
Salud
Juegos en línea
Apuestas Online
E-commerce y marketplaces
Sector público
Redes sociales
Recursos
Blog
Prensa
Webinars
Centro de confianza
Asociados de negocios e integraciones
Empresa
Acerca de Incode
Carreras
Privacy Manifesto
Contáctanos
Seguridad
HIPAA
Política de privacidad
Términos de uso
Accesibilidad
SDK Y API
Informe de privacidad de datos de Washington Consumer Health
Política y aviso de datos biométricos
Manage Cookies
Incode Technologies ha sido certificado para cumplir con SOC 2 Tipo ii. Incode Technologies utiliza cifrado TLS de 256 bits
© Incode Technologies Inc. Todos los derechos reservados. Marca registrada Incode