Cinco detenidos y tres foros cerrados: por qué ShinyHunters sigue saqueando a las empresas
La fuerza del grupo no estaba en su gente, sino en su nombre, que una y otra vez resiste cualquier golpe.
Los grupos de ciberdelincuencia atacan cada vez menos el perímetro y cada vez más los mecanismos habituales de confianza en los servicios corporativos, y ShinyHunters demuestra claramente por qué un único factor de autenticación ya no es suficiente. Según Cato CTRL, el grupo sigue activo en 2026, a pesar de tres incautaciones de foros, cinco arrestos de administradores en tres operaciones y la condena del fundador, Sébastien Raoul.
El cambio principal no está en una herramienta maliciosa concreta, sino en la táctica. ShinyHunters depende cada vez menos del phishing masivo y de cadenas de vulnerabilidades, y en lugar de atacar contraseñas se dirige a los mecanismos de acceso de confianza en servicios SaaS corporativos. Están en riesgo las organizaciones que usan Salesforce, Salesloft Drift, Gainsight y otras integraciones de terceros similares.
Durante la campaña de UNC6040, el atacante llamaba al servicio de asistencia, se hacía pasar por un empleado interno de TI y guiaba al trabajador supuestamente a través de una comprobación de conectividad. Como resultado, el empleado aprobaba una aplicación conectada maliciosa en Salesforce. Tras esa aprobación, el atacante obtenía un token OAuth con los privilegios del usuario. Para este tipo de esquema no se requerían la contraseña, el software malicioso ni la elusión tradicional de la autenticación multifactor.
El clúster relacionado con ShinyHunters, UNC6395, fue aún más lejos y eliminó la ingeniería social del proceso. En vez de engañar a empleados, utilizó tokens OAuth robados de integraciones de confianza, incluidos Salesloft Drift. Ese acceso no generaba los signos habituales de compromiso en los equipos de trabajo, porque los atacantes operaban a través de servicios en los que la empresa ya confiaba.
La resiliencia de ShinyHunters no se explica solo por la técnica. El grupo ganó notoriedad en 2020 por la venta de grandes bases de datos y luego sobrevivió al cierre de RaidForums, a dos incautaciones de BreachForums y a los arrestos de administradores destacados en Francia en 2025.
Tras los golpes a su infraestructura, la marca reaparecía en cuestión de días o semanas, y para 2025 se fortaleció mediante la unión con Scattered LAPSUS$ Hunters, donde confluyeron el reconocimiento de ShinyHunters, las técnicas de ingeniería social de Scattered Spider y los métodos agresivos de LAPSUS$.
Las recomendaciones para los defensores se reducen a revisar el modelo de seguridad. Se aconseja a las empresas activar autenticación multifactor resistente al phishing para roles con privilegios en SaaS, revisar y restringir las aplicaciones OAuth en Salesforce, Google Workspace y Microsoft 365, supervisar en tiempo real los permisos de terceros nuevos, formar al personal de asistencia para detectar el fraude por voz, limitar el acceso a API sensibles por direcciones IP y vigilar las exportaciones masivas de datos.