Hackers atacan entornos SaaS con técnicas invisibles y rápidas

El panorama de amenazas en ciberseguridad continúa evolucionando hacia modelos cada vez más sofisticados, silenciosos y difíciles de detectar. Recientemente, investigadores han identificado dos grupos de ciberdelincuencia que están redefiniendo la forma en que se ejecutan los ataques: operaciones rápidas, precisas y casi invisibles que se desarrollan directamente dentro de entornos SaaS corporativos.

Nuevos grupos de hackers ejecutan ataques rápidos dentro de entornos SaaS

Los clústeres identificados como Cordial Spider y Snarky Spider están detrás de campañas de robo de datos y extorsión altamente efectivas. También conocidos por múltiples alias como BlackFile, UNC6671 o UNC6661, estos actores han estado activos al menos desde octubre de 2025, mostrando un alto nivel de coordinación y similitud operativa.

Según investigaciones de CrowdStrike, ambos grupos ejecutan "ataques rápidos y de alto impacto" que aprovechan la confianza inherente en plataformas SaaS para operar sin levantar sospechas. Esta estrategia reduce significativamente su huella digital y complica la detección por parte de los equipos de seguridad.

Vishing y phishing AiTM: la puerta de entrada

El principal vector de ataque utilizado por estos grupos es el phishing por voz (vishing). A través de llamadas telefónicas, los atacantes se hacen pasar por personal de soporte técnico para engañar a las víctimas y redirigirlas a páginas maliciosas.

Estas páginas utilizan técnicas de adversario en el medio (AiTM) con temática de inicio de sesión único (SSO), permitiendo capturar credenciales de acceso y códigos de autenticación multifactor (MFA). Una vez obtenida esta información, los atacantes acceden directamente a aplicaciones SaaS integradas con SSO.

Este enfoque elimina la necesidad de comprometer múltiples sistemas individuales, ya que una sola sesión autenticada puede abrir la puerta a todo el ecosistema digital de la organización.

Ataques sin malware: el uso de técnicas Living off the Land

Una de las características más peligrosas de estas campañas es el uso de técnicas conocidas como Living off the Land (LotL). En lugar de introducir malware tradicional, los atacantes utilizan herramientas y funcionalidades legítimas del sistema para ejecutar sus acciones.

Esto incluye el uso de proxies residenciales para ocultar su ubicación real y evadir sistemas de detección basados en reputación de direcciones IP. Además, manipulan configuraciones internas de las plataformas SaaS para mantener el acceso y evitar alertas de seguridad.

Investigaciones de Palo Alto Networks y el grupo RH-ISAC han vinculado estas actividades con el ecosistema criminal conocido como The Com, lo que refuerza la hipótesis de una red organizada y altamente especializada.

Compromiso de cuentas y evasión de MFA

Una vez dentro del sistema, los atacantes implementan tácticas avanzadas para asegurar la persistencia. Entre ellas destacan:

• Registro de nuevos dispositivos autorizados para evitar controles MFA
• Eliminación de dispositivos previamente registrados
• Creación de reglas en bandejas de entrada para suprimir alertas de seguridad
• Eliminación automática de correos relacionados con accesos sospechosos

Estas acciones permiten a los ciberdelincuentes mantener el control de las cuentas comprometidas sin que los usuarios o administradores detecten actividad inusual.

Movimiento lateral en entornos SaaS

Tras asegurar el acceso inicial, los atacantes realizan reconocimiento interno mediante la extracción de directorios de empleados. Esto les permite identificar cuentas con privilegios elevados y escalar su nivel de acceso.

Posteriormente, se mueven lateralmente dentro del entorno SaaS, accediendo a plataformas críticas como:

• Google Workspace
• Microsoft SharePoint
• Salesforce
• HubSpot

El objetivo final es identificar y exfiltrar datos sensibles, incluyendo documentos estratégicos, informes financieros y bases de datos de clientes.

Extorsión y robo de datos: objetivo final

Los datos robados son transferidos a infraestructuras controladas por los atacantes, donde pueden ser utilizados para extorsión, venta en mercados clandestinos o ataques posteriores.

Según Mandiant, estas tácticas guardan similitudes con campañas del grupo ShinyHunters, conocido por ataques de alto perfil y filtraciones masivas de datos.

La velocidad de ejecución es uno de los factores clave: en muchos casos, los atacantes logran comprometer sistemas y exfiltrar información en cuestión de horas.

Desafíos para la detección y respuesta

El uso exclusivo de entornos SaaS representa un desafío significativo para los equipos de seguridad. Al operar dentro de plataformas legítimas, los atacantes evitan activar alertas tradicionales basadas en comportamiento anómalo o presencia de malware.

Además, la dependencia de sistemas SSO y proveedores de identidad (IdP) centraliza el acceso, convirtiéndolos en objetivos críticos. Una vez comprometido el IdP, los atacantes pueden acceder a múltiples servicios sin necesidad de autenticarse nuevamente.

Recomendaciones para mitigar estos ataques

Ante esta nueva ola de amenazas, las organizaciones deben adoptar un enfoque proactivo en su estrategia de ciberseguridad:

• Implementar autenticación resistente al phishing, como FIDO2 o llaves de seguridad físicas
• Monitorear accesos a IdP y aplicaciones SaaS en tiempo real
• Restringir el registro de nuevos dispositivos sin validación adicional
• Auditar reglas de correo electrónico para detectar manipulaciones
• Capacitar al personal para identificar intentos de vishing y phishing

Asimismo, es fundamental aplicar principios de Zero Trust, limitando el acceso a recursos según el contexto y nivel de riesgo.

En fin...

Los grupos Cordial Spider y Snarky Spider representan una evolución significativa en el panorama de amenazas, demostrando que los ataques modernos no requieren malware para ser efectivos. Su capacidad para operar dentro de entornos SaaS, aprovechar relaciones de confianza y ejecutar acciones rápidas los convierte en adversarios altamente peligrosos.

La defensa frente a estas amenazas exige una combinación de tecnología avanzada, vigilancia constante y concienciación del usuario. En un entorno digital cada vez más interconectado, proteger la identidad y el acceso se ha convertido en la primera línea de defensa.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login