Apenas unos meses después de causar estragos en el sector minorista del Reino Unido, el grupo de ciberdelincuentes Scattered Spider ha centrado su atención en la industria aérea global, con incidentes recientes que han afectado a Hawaiian Airlines, WestJet y Qantas.
Se trata del tercer gran ataque de Scattered Spider en solo dos meses, tras las ofensivas coordinadas contra compañías de seguros y minoristas en Estados Unidos y Reino Unido.
Solo entre mayo y junio de 2025, marcas como Marks & Spencer, Harrods, Cartier, Victoria’s Secret y Adidas fueron atacadas, al igual que las aseguradoras Aflac y Philadelphia Insurance Companies. Se estima que el ataque a M&S provocó pérdidas de hasta 300 millones de libras esterlinas y causó meses de disrupción operativa.
El FBI advierte que Scattered Spider “tiene como objetivo a grandes corporaciones y sus proveedores de servicios de TI externos, lo que significa que cualquier actor dentro del ecosistema de una aerolínea —incluyendo proveedores y contratistas— podría estar en riesgo”.
Estos ataques están diseñados para explotar una debilidad crítica de la autenticación multifactor (MFA) tradicional: el uso de secretos compartidos, como contraseñas o códigos de un solo uso (OTP), que pueden ser interceptados, robados o manipulados mediante ingeniería social. Hoy, la pregunta ya no es si una organización será atacada, sino cuándo. La clave para mitigar estos riesgos es abandonar los secretos compartidos y adoptar una MFA resistente al phishing, basada en la identidad.
Anatomía de un ataque de Scattered Spider:
Aunque los sectores que ataca Scattered Spider van cambiando, sus tácticas suelen mantenerse constantes:
- Reconocimiento sofisticado e ingeniería social: los atacantes realizan un análisis profundo para recolectar datos personales, como números de seguridad social y direcciones.
- Explotación de mesas de ayuda vulnerables: los centros de soporte técnico, muchas veces tercerizados y guiados por guiones, son objetivos frecuentes para la suplantación de identidad. Como señala Austin Larsen, analista principal de amenazas en Google Mandiant: “Es un desafío para los centros de soporte detectar estos ataques, dada la cantidad de información que los atacantes ya poseen”.
- Intercambio de SIM (SIM swapping): con información personal detallada, los atacantes engañan a los operadores móviles para transferir el número telefónico de la víctima a una SIM controlada por ellos, permitiéndoles interceptar OTPs enviados por SMS y evadir la MFA.
- Ransomware y robo de datos: al obtener acceso fraudulento mediante MFA, escalan privilegios, instalan ransomware o extraen información crítica, evidenciando que incluso las mejores defensas técnicas pueden fallar si el factor humano es vulnerado.
El fracaso de la MFA tradicional
Durante años, la MFA ha sido un pilar de la ciberseguridad. Sin embargo, el modelo tradicional parte del supuesto erróneo de que quien supera el segundo factor es automáticamente confiable. Los ataques de Scattered Spider han demostrado que esta premisa ya no es válida.
En lugar de verificar lo que alguien sabe (contraseñas, preguntas secretas) o lo que tiene (códigos de un solo uso), las organizaciones deberían verificar quién es la persona (utilizando biometría de terceros).
Al trasladar la verificación a la tecnología en lugar de depender de los usuarios, las organizaciones pueden eliminar el factor humano, el eslabón más débil de la seguridad de la identidad.
¿Cómo iProov neutraliza las tácticas de Scattered Spider?
A medida que las organizaciones adoptan modelos de seguridad de confianza cero, la biometría con detección de vida proporciona una capa de identidad de alta confianza vital para actividades de alto riesgo como el restablecimiento de contraseñas, la recuperación de cuentas y la autorización de dispositivos. La biometría facial con verificación de la vitalidad cambia radicalmente la autenticación del personal y neutraliza las tácticas de las Scattered Spider:
- Sin riesgo de intercambio de SIM: el escaneado facial vincula la autenticación directamente a la identidad biológica única de una persona, no a un número de teléfono o dispositivo vulnerable a los ataques.
- Inmune a la ingeniería social: Los empleados no tienen secretos que revelar. La autenticación se produce en tiempo real, eliminando el punto débil humano que explotan los atacantes.
- Resistente a la IA: La tecnología de iProov detecta y bloquea incluso la suplantación avanzada basada en la IA, garantizando que sólo una persona real y viva pueda autenticarse.
Además de una seguridad inigualable, iProov Workforce MFA ofrece una experiencia rápida e intuitiva, impulsando la productividad sin sacrificar la seguridad.
Refuerce su MFA con una capa de identidad de alta confianza
Grupos como Scattered Spider amenazan los cimientos mismos de la confianza organizativa, especialmente a medida que se expanden a sectores críticos como las aerolíneas. La necesidad de reforzar las estrategias de seguridad del personal nunca ha sido tan urgente.
