Extorsión en SaaS: Grupos Spider usan vishing para vulnerar empresas

En el cambiante tablero de la ciberseguridad, el año 2026 ha marcado un punto de inflexión crítico con la consolidación de una amenaza que desafía las arquitecturas de defensa tradicionales. La Extorsión en SaaS (Software as a Service) se ha convertido en el arma predilecta de grupos altamente sofisticados que han entendido que los datos más valiosos de una empresa ya no residen en servidores locales, sino en la nube. A la cabeza de esta ofensiva se encuentran dos células estrechamente vinculadas: Cordial Spider y Snarky Spider.

Estos grupos, afiliados al ecosistema criminal conocido como “The Com”, han perfeccionado una metodología de ataque “rapid-fire” (fuego rápido) que prioriza la velocidad y la evasión. A diferencia de los operadores de ransomware tradicionales que cifran archivos, estos actores se enfocan en el acceso directo a plataformas críticas como Google Workspace, Salesforce y HubSpot, extrayendo información sensible antes de que los equipos de respuesta a incidentes puedan si quiera detectar una anomalía. Su éxito no depende de vulnerabilidades de software, sino de la manipulación psicológica a gran escala potenciada por herramientas técnicas avanzadas.

Cordial Spider y Snarky Spider: Los arquitectos del caos en la nube

Para entender la magnitud del problema, es necesario diseccionar la estructura de estos atacantes. Cordial Spider (también identificado en círculos de inteligencia como UNC6671 o BlackFile) y Snarky Spider (UNC6661) no son actores aislados. Forman parte de una nueva generación de cibercriminales, frecuentemente de habla inglesa, que operan bajo el paraguas de “The Com”, una comunidad descentralizada pero extremadamente colaborativa.

La especialización de estos grupos es alarmante. Mientras que Cordial Spider se ha destacado por sus incursiones en los sectores de retail y servicios financieros, Snarky Spider ha demostrado una agresividad inusitada en campañas de hostigamiento y extorsión directa. Ambos comparten un rasgo común: el uso de infraestructura de proxies residenciales —como Mullvad, Oxylabs y 9Proxy— para ocultar su ubicación geográfica y mimetizarse con el tráfico legítimo de los empleados, anulando así las alertas basadas en geolocalización de las plataformas SaaS.

El ecosistema de “The Com” y la Extorsión en SaaS

La Extorsión en SaaS bajo este modelo no busca el bloqueo operativo del cliente, sino el control total de su activo más preciado: la identidad. Al comprometer el Proveedor de Identidad (IdP) de una organización, como Okta o Azure AD, los grupos Spider obtienen las llaves de todo el reino digital. La ventaja para el criminal es clara: huella cero en los endpoints locales. No hay malware que el antivirus pueda detectar, no hay tráfico sospechoso en el firewall perimetral; solo hay sesiones legítimas, aparentemente iniciadas por empleados reales.

La “Vishing Masterclass”: El arte de la manipulación telefónica

El vector de entrada preferido por estos grupos es el vishing (voice phishing). En lugar de enviar correos electrónicos masivos que pueden ser filtrados por sistemas de seguridad, los atacantes llaman directamente a los empleados o al personal de soporte técnico (help desk). Utilizando números de VoIP suplantados que muestran el nombre de la empresa en el identificador de llamadas, los atacantes ejecutan un guion meticulosamente diseñado:

• Suplantación de identidad: El atacante se presenta como un técnico de nivel 2 del departamento de IT.
• Generación de urgencia: Informan a la víctima que su cuenta ha sido detectada con actividad sospechosa o que debe realizar una actualización obligatoria de sus ajustes de autenticación multifactor (MFA).
• El señuelo técnico: Guían al empleado hacia una página web fraudulenta que imita a la perfección el portal de Single Sign-On (SSO) de la organización.

Lo que hace que estos ataques sean devastadores en 2026 es el uso de kits de phishing de tipo Adversary-in-the-Middle (AiTM). Estas plataformas no son estáticas; actúan como un puente en tiempo real entre la víctima, el atacante y el servicio legítimo. Cuando el empleado introduce sus credenciales en la página falsa, el kit las reenvía instantáneamente al portal real. Si el sistema solicita un código MFA, el atacante lo solicita al usuario por teléfono y lo introduce al momento.

Disección técnica: Abuso de SSO y secuestro de tokens de sesión

El objetivo final del vishing no es solo la contraseña, sino el token de sesión autenticado. Una vez que el atacante completa el flujo de autenticación a través del proxy AiTM, el sistema de identidad genera una cookie o token de sesión que confirma que el usuario es quien dice ser. Al capturar este token, los grupos Spider pueden importarlo en sus propios navegadores, saltándose por completo cualquier desafío adicional de seguridad.

Persistencia mediante el registro de dispositivos propios

Una vez dentro del entorno de SSO, el primer movimiento de Cordial Spider es garantizar su permanencia. Para ello, aprovechan las funciones de autoservicio de las plataformas para registrar sus propios dispositivos en el sistema MFA de la víctima. Esto les permite generar sus propios códigos de acceso en el futuro, eliminando la necesidad de volver a interactuar con el empleado comprometido. Esta técnica de “enrollment” de dispositivos no autorizados es uno de los puntos ciegos más críticos en la gestión de identidades moderna.

Además, se ha documentado que estos grupos realizan un escaneo exhaustivo de los directorios internos de empleados para identificar cuentas con privilegios de administrador. Una vez que escalan privilegios, proceden a:

1. Desactivar alertas de seguridad automáticas dentro del panel de administración del IdP.
2. Crear nuevas aplicaciones OAuth con permisos extensos para acceder a datos de manera programática.
3. Modificar configuraciones de retención de registros para dificultar el análisis forense posterior.

Exfiltración de datos a velocidad de vértigo: El caso de Salesforce y Google Workspace

Con el acceso consolidado, el enfoque cambia hacia la extracción masiva de información. En el caso de Salesforce, se ha detectado el uso de versiones modificadas de herramientas legítimas como Salesforce Data Loader. Los atacantes guían a empleados con altos privilegios para que aprueben la integración de estas aplicaciones “zombie”, lo que les otorga acceso total a las APIs del CRM. A partir de ahí, pueden exportar bases de datos completas de clientes, contratos firmados y proyecciones financieras en cuestión de minutos.

En entornos de Google Workspace y Microsoft SharePoint, la estrategia suele ser el uso de scripts de PowerShell o herramientas de sincronización en la nube (como rclone) configuradas para enviar archivos directamente a buckets de almacenamiento controlados por los atacantes. El impacto es especialmente severo en sectores como la aviación y los servicios financieros, donde la exfiltración de planos técnicos o historiales de transacciones puede paralizar la confianza del mercado.

La huella invisible: Por qué fallan las defensas tradicionales

La característica más inquietante de las campañas de los grupos Spider es que son estrictamente “SaaS-only”. Al operar enteramente en la capa de aplicaciones de nube y servicios de identidad, no hay ejecución de código malicioso en el ordenador del empleado. Las soluciones de Detección y Respuesta en Endpoints (EDR) y los firewalls de red tradicionales son, por definición, incapaces de ver lo que sucede dentro de una sesión de navegador cifrada hacia un dominio de confianza.

Incluso las defensas de MFA basadas en notificaciones “push” o SMS son ineficaces contra este nivel de ingeniería social. El atacante, presente en la llamada telefónica, manipula al usuario para que apruebe la notificación en el momento exacto en que el servidor la envía, convirtiendo una medida de seguridad en una puerta abierta para el intruso.

Impacto económico y tácticas de extorsión agresiva

Cuando la exfiltración concluye, comienza la fase de extorsión. Cordial Spider utiliza el sitio de filtraciones BlackFile para listar a sus víctimas y publicar muestras de los datos robados como prueba. Las demandas de rescate en estos escenarios suelen oscilar en las siete cifras (millones de dólares), reflejando el alto valor estratégico de la información contenida en las plataformas SaaS.

Si la empresa se niega a negociar, el grupo Snarky Spider suele tomar el relevo con tácticas de presión extrema. Estas incluyen:

• DDoS: Ataques de denegación de servicio contra los portales públicos de la empresa para aumentar la presión operativa.
• Hostigamiento a empleados: Envío de mensajes SMS amenazantes a ejecutivos y sus familias, utilizando información obtenida de los directorios internos robados.
• Swatting: En casos extremos, se han reportado llamadas falsas a servicios de emergencia para provocar intervenciones policiales en los domicilios de empleados clave.

Estrategias de defensa: Hacia la resiliencia en la nube

Frente a una amenaza que explota la confianza humana y la conectividad de la nube, las organizaciones deben evolucionar hacia un modelo de resiliencia de identidad. La prevención ya no es suficiente; la detección rápida y la contención son los pilares de la supervivencia.

1. Adopción de MFA resistente al phishing: La única defensa técnica robusta contra los ataques AiTM es la implementación de estándares FIDO2 (llaves de seguridad físicas o passkeys). Estos métodos vinculan criptográficamente el origen de la sesión con el dispositivo físico, impidiendo que un token capturado por un proxy sea reutilizado en otro lugar.

2. Endurecimiento del Help Desk: Es vital implementar procesos de verificación de identidad fuera de banda (out-of-band). Por ejemplo, requerir que cualquier solicitud de reinicio de credenciales o cambio de dispositivo MFA se valide mediante una videollamada donde se verifique la identidad visual del empleado frente a su registro de recursos humanos.

3. Monitorización de SaaS y SSPM: El uso de herramientas de SaaS Security Posture Management (SSPM) permite auditar de forma continua las aplicaciones OAuth conectadas y los cambios en las configuraciones globales. Cualquier registro de un nuevo dispositivo MFA debe disparar una alerta de alta prioridad inmediata.

4. Restricción de acceso por contexto: Implementar políticas de acceso condicional que no solo verifiquen la identidad, sino también la salud del dispositivo y la red de origen. Bloquear el acceso desde proxies residenciales conocidos y exigir que las sesiones de administración solo se originen desde dispositivos gestionados por la empresa.

La Extorsión en SaaS protagonizada por Cordial Spider y Snarky Spider representa la madurez del cibercrimen moderno. En este nuevo ecosistema, la seguridad ya no se define por los muros que construimos alrededor de nuestra red, sino por nuestra capacidad para proteger cada identidad, cada sesión y cada fragmento de datos que reside en la nube. La velocidad de los atacantes es impresionante, pero una defensa orquestada y centrada en la identidad puede, y debe, ser más rápida.