Sin virus, solo psicología: ¿por qué los empleados entregan voluntariamente las credenciales de la empresa a los estafadores? Lo explica CrowdStrike
A veces la simple cortesía le sale demasiado cara a las empresas.
La compañía CrowdStrike advirtió sobre un cambio notable en la táctica de los grupos de ransomware: los atacantes cada vez eluden más las protecciones clásicas no infectando estaciones de trabajo, sino a través de servicios en la nube de confianza. En esos ataques la intrusión puede parecer una entrada habitual de un empleado en la cuenta corporativa, y el robo de datos comienza en cuestión de minutos.
Según CrowdStrike, desde octubre de 2025 los grupos CORDIAL SPIDER y SNARKY SPIDER realizan ataques rápidos contra entornos SaaS, usando phishing por voz. Los atacantes se hacen pasar por personal de soporte de TI y persuaden a los empleados para que accedan a páginas falsas de inicio de sesión único. Los dominios de esos sitios imitan los portales corporativos, por eso la víctima ve el formulario de autenticación habitual y no detecta el engaño.
Tras introducir las credenciales, los atacantes interceptan no solo el nombre de usuario y la contraseña, sino también los tokens de sesión activos. Ese enfoque les permite obtener acceso al sistema de inicio de sesión único y a las aplicaciones SaaS vinculadas sin comprometer por separado cada servicio.
Para afianzarse en las cuentas comprometidas, CORDIAL SPIDER y SNARKY SPIDER añaden sus propios dispositivos de autenticación multifactor. En varios casos se eliminaban los dispositivos MFA antiguos antes de registrar los nuevos. CrowdStrike señala que SNARKY SPIDER casi siempre usaba el emulador de Android Genymobile, mientras que CORDIAL SPIDER empleaba una gama más amplia de dispositivos móviles y QEMU.
Luego los atacantes intentan ocultar las huellas del compromiso. SNARKY SPIDER, según CrowdStrike, borra los correos con avisos de actividad sospechosa y crea reglas en el buzón que eliminan automáticamente mensajes con palabras como 'alert', 'incident' y 'MFA'. Así la víctima puede no ver las advertencias sobre un nuevo dispositivo o un inicio de sesión sospechoso.
Una vez afianzadas, las agrupaciones buscan en las plataformas SaaS documentos y mensajes con palabras sensibles, incluyendo 'confidential', 'SSN', 'contracts' y 'VPN'. Esa búsqueda ayuda a localizar rápidamente contratos, materiales internos, datos de empleados e información sobre la infraestructura.
El objetivo principal de ambos grupos es la exfiltración masiva de datos desde SharePoint, HubSpot, Google Workspace y otros servicios en la nube. CrowdStrike subraya que los ataques no están relacionados con vulnerabilidades de las propias plataformas SaaS. Los problemas suelen surgir por configuraciones débiles en los clientes, la falta de una autenticación multifactor resistente al phishing y permisos de acceso demasiado amplios.
Para enmascararse, CORDIAL SPIDER y SNARKY SPIDER usan VPN comerciales y proxies residenciales, incluyendo Mullvad, Oxylabs, NetNut, 9Proxy, Infatica y NSOCKS. Los proxies residenciales dificultan especialmente la detección de los ataques, ya que el tráfico parece una conexión desde las IP domésticas de usuarios comunes.
CrowdStrike vincula estas campañas con la creciente brecha entre la protección de los endpoints y la visibilidad dentro de los entornos SaaS. Incluso una estación de trabajo bien protegida no servirá de nada si el atacante ya ha accedido a los servicios en la nube mediante una sesión robada y actúa en nombre de un usuario real.