¿Por qué escribir códigos complicados si basta con llamar? Así opera la ciberdelincuencia en la era de las «llamadas».

Hace apenas unos años los ataques de hackers se asociaban con servidores maliciosos «exóticos» y direcciones IP sospechosas. Hoy todo es distinto. Los especialistas de Team Cymru describieron en detalle el funcionamiento del grupo. Scattered Spider aprendió a ocultarse dentro de la infraestructura digital legítima, camuflando los ataques como trabajo habitual de empleados, conexiones VPN y servicios corporativos. Por eso se ha convertido en una de las amenazas cibernéticas más peligrosas de los últimos años.

En 2024 y 2025 Scattered Spider se consolidó como una de las agrupaciones cibercriminales de habla inglesa más activas del colectivo TheCom. En mayo de 2024 el FBI advirtió públicamente sobre su actividad y vinculó a miembros del grupo con una serie de ataques multimillonarios contra grandes empresas. Anteriormente MGM Resorts declaró oficialmente que las pérdidas por el ataque del ransomware ALPHV/BlackCat vinculado con Scattered Spider ascendieron a alrededor de $100 millones. En 2025 Marks & Spencer informó de pérdidas estimadas en £300 millones tras un ataque con el cifrador DragonForce, que también se relaciona con esa agrupación. Expertos de Google consideran que Scattered Spider está detrás de los ataques a Co-op y Harrods.

La agrupación es conocida por actuar como socio de servicios de ransomware como servicio (RaaS) creados por ALPHV/BlackCat, Qilin, RansomHub y DragonForce. El enfoque principal de Scattered Spider no son los exploits complejos, sino la ingeniería social. Los hackers llaman a los departamentos de TI de las empresas, se hacen pasar por empleados, convencen para restablecer contraseñas o instalar herramientas de administración remota. También usan phishing por SMS haciéndose pasar por servicios de inicio único y ataques de suplantación de SIM para interceptar credenciales corporativas.

Tras obtener acceso, los atacantes revisan todos los servicios conectados al sistema de inicio de sesión único, se desplazan por la infraestructura interna, atacan entornos virtuales y servidores en la nube, y luego exfiltran datos y activan cifradores. La característica clave de su táctica es la infraestructura. En lugar de los servidores maliciosos «clásicos», Scattered Spider emplea activamente servicios VPN comunes, redes proxy legales, sitios populares para compartir archivos, servicios de tunelización de conexiones y herramientas de administración remota como AnyDesk y TeamViewer.

En esencia, los hackers se diluyen en el tráfico habitual de Internet. Sus conexiones parecen el trabajo de un empleado remoto, de un desarrollador que prueba un servicio o de una persona que transfiere archivos a través de la nube. Incluso el uso de direcciones IP domésticas mediante proxies residenciales hace que las intrusiones parezcan «normales» para los sistemas de seguridad. Bloquear esas conexiones suele ser imposible sin el riesgo de paralizar el trabajo legítimo de una empresa.

Los expertos señalan que precisamente esa estrategia hace a Scattered Spider especialmente peligrosa. Una misma dirección IP o servicio puede ser utilizada tanto por usuarios reales como por atacantes. Como resultado, los métodos tradicionales de defensa basados en listas negras pierden eficacia. El único enfoque eficaz es el análisis del comportamiento: no centrarse en qué es la infraestructura, sino en cómo se utiliza.

Los especialistas subrayan que la agrupación cambia con rapidez las herramientas y los proveedores, pero mantiene un estilo de ataque coherente. Eso la convierte en un objetivo difícil de proteger, pero al mismo tiempo ofrece una posibilidad de detección temprana si se aplica una analítica adecuada del tráfico, de los registros y de la actividad de los usuarios. En los ataques actuales la pieza principal no es el código malicioso, sino la capacidad de parecer un usuario habitual y de usar servicios digitales legítimos como arma, convirtiendo la infraestructura cotidiana en una herramienta de ciberataques.