Vishing de BlackFile: Nueva amenaza de extorsión millonaria de datos

En el cambiante ecosistema de las ciberamenazas de 2026, la sofisticación técnica ya no es el único pilar del éxito criminal; la manipulación psicológica de alta precisión se ha convertido en la punta de lanza. Recientemente, los analistas de Unit 42 de Palo Alto Networks y el RH-ISAC han identificado a un nuevo depredador en la red: el sindicato BlackFile (también rastreado como UNC6671 o Cordial Spider). Este grupo no solo busca vulnerabilidades en el código, sino que explota la confianza humana a través de una agresiva campaña de vishing de BlackFile que está redefiniendo las reglas de la extorsión de datos en los sectores de retail y hospitalidad.

A diferencia de los ataques automatizados del pasado, BlackFile opera con una metodología que combina el engaño verbal, la infraestructura de “Adversary-in-the-Middle” (AiTM) y tácticas de presión física que rozan el terrorismo doméstico. El objetivo es claro: el acceso total a los repositorios de datos más valiosos de la empresa, como Salesforce y SharePoint, para extraer información sensible y exigir rescates que superan las siete cifras.

Anatomía de un ataque: El Vishing de BlackFile como puerta de entrada

La campaña de vishing de BlackFile comienza mucho antes de que suene el teléfono. Los atacantes realizan una fase de reconocimiento exhaustiva, identificando nombres de empleados, roles jerárquicos y la estructura de soporte técnico de la organización objetivo. Utilizando servicios de VoIP (Voz sobre IP) altamente sofisticados, el grupo logra falsificar no solo el número de teléfono, sino también el Caller ID Name (CNAM) para que en la pantalla del empleado aparezca un identificador legítimo como “Soporte IT Corporativo” o “Mesa de Ayuda Global”.

Durante la llamada, el operador de BlackFile despliega un guion de ingeniería social pulido. Con un tono profesional y urgente, informan al empleado sobre una supuesta anomalía de seguridad en su cuenta o una actualización mandatoria de las políticas de acceso. El objetivo es dirigir a la víctima a un portal de inicio de sesión fraudulento. Estos portales no son simples copias estáticas; son sitios de phishing dinámicos que imitan a la perfección el sistema de Single Sign-On (SSO) de la empresa.

El asalto al MFA en tiempo real

Lo que hace que el vishing de BlackFile sea particularmente devastador es su capacidad para evadir la autenticación de múltiples factores (MFA). Mientras el empleado ingresa sus credenciales en el sitio falso, los atacantes capturan la información en tiempo real. Cuando el sistema legítimo solicita el código MFA o el Token de un solo uso (TOTP), el sitio de phishing presenta un campo de entrada idéntico para que el usuario lo proporcione.

Al obtener el código en segundos, los operadores de BlackFile lo utilizan para completar el proceso de autenticación en los servidores reales antes de que el token expire. Esta técnica, conocida como AiTM (Adversary-in-the-Middle), les permite secuestrar la sesión activa del usuario y obtener un “Token de Acceso” válido sin que el sistema de seguridad detecte ninguna anomalía geográfica o de comportamiento inicial.

Persistencia mediante el secuestro de dispositivos (BYOD)

Una vez dentro del entorno corporativo, el primer objetivo de BlackFile no es el robo de datos inmediato, sino asegurar su permanencia. Aprovechando las políticas de Bring Your Own Device (BYOD) y las configuraciones de confianza en plataformas como Microsoft Entra ID (anteriormente Azure AD), los atacantes registran sus propios dispositivos móviles o estaciones de trabajo como dispositivos autorizados de la víctima.

• Registro en Intune: Los atacantes utilizan las credenciales robadas para inscribir un nuevo dispositivo en el sistema de gestión de dispositivos (MDM) de la empresa.
• Evasión de MFA persistente: Al registrar un dispositivo “confiable”, el sistema deja de solicitar desafíos de MFA frecuentes para ese dispositivo específico, permitiendo a los atacantes moverse lateralmente sin levantar sospechas.
• Uso de navegadores “Antidetect”: Para evitar las alertas de seguridad basadas en la huella digital del navegador, BlackFile emplea navegadores especializados que falsifican parámetros como el User-Agent, la resolución de pantalla y los Canvas fingerprints, haciendo que su actividad parezca provenir del hardware original del empleado.

Exfiltración quirúrgica: El asalto a Salesforce y SharePoint

Con el acceso consolidado, BlackFile se dirige a las joyas de la corona: los repositorios de datos en la nube. A diferencia de otros grupos que cifran archivos indiscriminadamente, BlackFile actúa como un minero de datos quirúrgico. Utilizan herramientas de automatización y scripts personalizados para interactuar directamente con las APIs de Salesforce y los servidores de SharePoint.

Los atacantes ejecutan búsquedas masivas de archivos utilizando palabras clave críticas. Entre los términos más buscados se encuentran:

1. “Confidential” (Confidencial)
2. “SSN” (Números de Seguro Social)
3. “Tax Records” (Registros de Impuestos)
4. “Acquisition” (Adquisición)
5. “Customer List” (Lista de Clientes)

Según los datos de Unit 42, se han observado patrones donde una sola cuenta comprometida accede a más de 500 registros de Salesforce o descarga más de 50 documentos de SharePoint en un lapso de apenas 30 minutos. Esta velocidad de exfiltración, facilitada por el abuso de las funciones legítimas de las APIs, permite al grupo obtener gigabytes de información estratégica antes de que los equipos de SOC (Security Operations Center) puedan reaccionar.

Guerra psicológica: Del robo de datos al “Swatting”

El componente más oscuro de la estrategia de BlackFile es su táctica de presión tras el robo. Cuando una organización se niega a negociar el rescate de siete cifras, el grupo escala el conflicto más allá del ámbito digital. Se ha documentado que miembros de BlackFile han recurrido al “swatting”: realizar llamadas falsas de emergencia a la policía local informando sobre incidentes violentos en los domicilios personales de los altos ejecutivos de las empresas víctimas.

Esta táctica busca aterrorizar físicamente a los líderes corporativos, forzándolos a considerar el pago no solo para proteger los datos de la empresa, sino para garantizar la seguridad de sus propias familias. Esta agresividad es una marca distintiva de su asociación con “The Com” (o “The Community”), una red criminal descentralizada compuesta principalmente por actores jóvenes de habla inglesa conocidos por su desprecio absoluto por la ética y las fronteras legales tradicionales.

¿Quién es “The Com”? El ecosistema detrás de BlackFile

Las investigaciones sugieren que BlackFile es un subconjunto de una red más amplia conocida como “The Com”. Este ecosistema no es una organización jerárquica, sino una amalgama de grupos como Scattered Spider y otros actores que comparten tácticas de ingeniería social y herramientas de intrusión.

Los miembros de “The Com” suelen ser individuos altamente competentes en el uso de proxies residenciales para ocultar su ubicación geográfica real, lo que dificulta enormemente la atribución por parte de las autoridades. Su motivación es puramente financiera, pero su ejecución está impulsada por una búsqueda de notoriedad en foros clandestinos de la Dark Web, donde presumen de sus exitosas intrusiones en gigantes del retail y la hotelería.

Estrategias de defensa: Blindando el perímetro humano y digital

Ante la amenaza del vishing de BlackFile, las defensas tradicionales basadas en firewalls y antivirus son insuficientes. La protección debe centrarse en la identidad y en la educación del personal. Las recomendaciones de los expertos incluyen:

• Implementación de MFA resistente al phishing: Migrar de los códigos SMS o TOTP a llaves de seguridad físicas basadas en FIDO2, que requieren la presencia física del dispositivo y no pueden ser interceptadas por portales de phishing AiTM.
• Políticas de verificación de llamadas: Establecer protocolos estrictos donde el personal de IT nunca solicite credenciales o códigos de acceso por teléfono. Se debe implementar un sistema de “devolución de llamada” utilizando números oficiales verificados internamente.
• Monitoreo de telemetría de APIs: Configurar alertas específicas para comportamientos anómalos en Salesforce y SharePoint, como la descarga masiva de archivos con palabras clave sensibles fuera de los horarios laborales habituales.
• Restricción del registro de dispositivos: Limitar la capacidad de registrar nuevos dispositivos en el entorno corporativo únicamente a redes internas conocidas o mediante la aprobación previa de un administrador de seguridad.

La aparición de BlackFile marca un punto de inflexión en la ciberdelincuencia de 2026. Ya no estamos ante hackers que operan en las sombras, sino ante extorsionadores que utilizan la voz humana y el terror psicológico para derribar las defensas de las empresas más grandes del mundo. En este nuevo escenario, la resiliencia de una organización depende directamente de la capacidad de sus empleados para reconocer que, a veces, la mayor amenaza no es un virus informático, sino una voz profesional al otro lado de la línea telefónica.