Sin hackeo ni virus, solo con la voz: los extorsionadores Pink derriban la seguridad corporativa con una sola llamada
Qué se sabe del grupo Pink, que no hackea sistemas sino que simplemente pide que lo dejen entrar.
Los extorsionadores cibernéticos cada vez prescinden más de hackeos complejos y comienzan el ataque con una llamada telefónica común. Convence a la persona de que habla con un empleado del departamento de TI interno y luego la persuaden para que introduzca sus credenciales en una página falsa.
Los especialistas de Unit 42 informaron sobre la banda de extorsión Pink, que rastrean como el clúster CL-CRI-1147. Según sus datos, los atacantes utilizan phishing por voz para el acceso inicial a los sistemas corporativos, después de lo cual roban rápidamente datos y pasan al chantaje.
Google Threat Intelligence considera que Pink puede no ser un grupo nuevo, sino otro nombre de un equipo ya conocido. Según la compañía, después de que la marca BlackFile cesó en mayo de 2026, los atacantes lanzaron Redact y luego podrían haber emergido como Pink.
Google relaciona esta actividad con UNC6671. Los analistas señalan infraestructura similar empleada para robar credenciales, un sitio de filtraciones parecido y mensajes repetidos en los que los delincuentes afirman supuestamente ayudar a las víctimas a «mejorar la seguridad» después de que las víctimas pagan.
El sitio de filtraciones de Pink, según las publicaciones en el propio recurso, comenzó a funcionar el 31 de mayo de 2026. En pocos días ya aparecieron presuntas víctimas en él, y el grupo no declara vinculación con equipos delictivos anteriores.
Unit 42 relaciona a Pink con el entorno criminal Com. Así se denomina a una comunidad dispersa de atacantes cuyos miembros emplean ingeniería social, sustraen cuentas y se dedican a la extorsión. Por el conjunto de técnicas, la nueva actividad es similar a las operaciones de Bling Libra, también conocida como ShinyHunters, y al clúster CL-CRI-1116, vinculado a Blackfile y Redact.
Esquema de ataque comienza con una llamada a la víctima. El atacante se hace pasar por un empleado del servicio de TI interno y convence al usuario de que introduzca sus datos en una página de phishing. Tras eso, los delincuentes obtienen acceso a la cuenta corporativa y eluden la autenticación multifactor.
Una vez que obtienen acceso, Pink busca y descarga rápidamente información de los almacenamientos en la nube corporativos, de servicios de trabajo y de bases de datos. Entre las plataformas mencionadas están SharePoint y OneDrive. Luego los atacantes utilizan la cuenta ya comprometida para enviar un correo exigiendo un rescate y para difundir mensajes en los chats internos de Microsoft Teams.
En uno de los casos investigados por Unit 42, las negociaciones de extorsión iniciadas anteriormente permanecieron sin respuesta durante mucho tiempo. El 1 de junio de 2026 el atacante volvió a contactar desde un correo electrónico gratuito, facilitó un nuevo identificador qTox y un enlace al sitio de filtraciones de Pink. Además, el delincuente aludía casi al mismo conjunto de datos robados que figuraba en la primera notificación de chantaje. A la víctima le dieron 72 horas para responder. Ese plazo suele utilizarse para aumentar la presión y forzar a la empresa a entablar negociaciones más rápidamente.
Para sus ataques Pink reutiliza dominios de segundo nivel contra distintas organizaciones, mientras que los dominios de tercer nivel suelen ajustar antes de cada objetivo. Según Unit 42, estos recursos de phishing se alojaron a través de DDoS-Guard.
Entre los dominios de phishing detectados figuran passkeyadd[.]com, passkeydeploy[.]com y deploypasskey[.]com. También los especialistas aportaron direcciones IP relacionadas con la forma en que los atacantes alojaban las páginas de phishing, accedían a cuentas comprometidas y creaban los correos de extorsión. Cuando los atacantes descargaban datos, se observaron cadenas de agente de usuario como Microsoft.Graph.Client/5.62.0, python-requests/2.28.1 y python-requests/2.33.1.
Los responsables de la defensa de redes corporativas deben prestar especial atención a las llamadas al servicio de soporte. Hay que verificar tanto los contactos de personas que se presentan como empleados sin acceso a la cuenta, como las llamadas de supuestos servicios de TI que piden urgentemente realizar una actualización de autenticación multifactor o confirmar el acceso a un sistema de trabajo.