El nombre Scattered Spider comenzó a circular con fuerza durante este año y ganó mayor notoriedad el 27 de junio de 2025, cuando el FBI emitió un comunicado alertando sobre la actividad de este grupo cibercriminal. A Scattered Spider se le atribuyen múltiples ataques dirigidos a industrias como la de los seguros, el comercio minorista y la aviación, principalmente en el Reino Unido y los Estados Unidos.
El 10 de julio, la Agencia Nacional del Crimen del Reino Unido (NCA) anunció el arresto de cuatro presuntos integrantes del grupo, acusados de delitos de extorsión, lavado de dinero y participación en actividades de crimen organizado. Aunque tras estos arrestos se percibió una leve disminución en su actividad, el grupo continúa activo y bajo vigilancia internacional.
A continuación, te contamos quiénes son, cómo operan y por qué generan tanta preocupación.
Qué es Scattered Spider
Este grupo está integrado mayormente por jóvenes angloparlantes, según detalla la NCA (Agencia Nacional del Crimen). Desde 2022, comenzó a consolidarse en plataformas como Discord, Telegram y diversos foros.
Scattered Spider se especializa en técnicas de ingeniería social para llevar a cabo el robo de credenciales, la instalación de herramientas de acceso remoto y la evasión de sistemas de autenticación multifactor (MFA), según el análisis compartido por Agencia de Seguridad Cibernética y de Infraestructura de los Estados Unidos (conocido como CISA).
Entre los métodos más utilizados, advierte el informe, se encuentran el phishing, el push bombing y el SIM swapping, una técnica que consiste en transferir el número de teléfono de la víctima a otra tarjeta SIM para interceptar mensajes y llamadas. Estas tácticas les permiten obtener acceso inicial a sistemas corporativos, que luego pueden ser comprometidos.
En ocasiones, colaboran con grupos de ransomware como ALPHV/BlackCat, para cifrar los sistemas y ejecutar el ataque bajo el modelo de doble extorsión: es decir, secuestro de información y amenaza de filtrar los datos obtenidos.
Un ejemplo reciente fue el ataque a Marks & Spencer, donde Scattered Spider utilizó el ransomware DragonForce. El incidente provocó la exfiltración de datos personales de clientes, afectó los servicios de envío en el Reino Unido y produjo una pérdida económica que se estima en 300 millones de libras.
Cómo ataca Scattered Spider
“Lo viejo funciona”. Esta frase, popularizada por el éxito de la serie de Netflix El Eternauta, se valida con el accionar de Scattered Spider, que recurre a tácticas clásicas de engaño como la suplantación de identidad y el abuso de confianza para vulnerar sistemas.
Por ejemplo:
Suplantación de personal de TI
En los casos reportados en el Reino Unido y los Estados Unidos los cibercriminales se hicieron pasar por personal de TI y soporte técnico y lograron que las víctimas ejecuten herramientas de acceso remoto, les comparan la contraseña de un solo uso y hasta que les transfieran el control del número de teléfono para acceder a MFAs.
Suplantación de empleados reales
Otra táctica consiste en hacerse pasar por colaboradores de la empresa atacada. Para ello, recopilan información de redes sociales y datos públicos obtenidos de filtraciones previas.
Luego, contactan al Help Desk en nombre de la víctima y solicitan el reseteo del segundo factor de autenticación. Así acceden al entorno corporativo y, mediante herramientas legítimas como Okta y Azure, escalan privilegios para acceder a información crítica o sistemas de control.
Scattered Spider: una araña activa en 2025
Los principales portales de noticias de ciberseguridad confirman que Scattered Spider ha sido uno de los actores más relevantes del año, con múltiples ataques atribuidos a su operación y patrones de acción consistentes. Entre abril y mayo ocurrieron una serie de ataques a empresas minoristas que fueron adjudicados a esta banda cibercriminal.
Marks & Spencer
Esta cadena de tiendas minoristas, por ejemplo, tuvo afectados sus servicios de envíos a gran parte del Reino Unido (desde abril hasta junio), con la exfiltración de datos personales de sus clientes y una pérdida monetaria cercana a los 300 millones de libras.
Co-op
Co-op sufrió el robo datos de clientes y vio afectada su tienda en línea, aunque logró evitar pérdidas mayores al detectar a tiempo un ataque de ransomware. ¿Cómo? Su equipo de TI decidió desconectar los servicios informáticos para impedir que los ciberdelincuentes continuaran con el ataque.
Industria de los seguros
Además del comercio minorista, Scattered Spider amplió su alcance hacia la industria de los seguros. En junio, el grupo puso la mira en la industria de los seguros y atacó a dos empresas aseguradoras de Estados Unidos.
Por ejemplo, Philadelphia Insurance Companies notificó a través de su página web un acceso no autorizado a su red. Por su parte, Erie Insurance sufrió interrupciones comerciales en sus sistemas
Aviación y transporte
Lejos de conformarse, Scattered Spider siguió expandiendo sus horizontes, al punto de enfocar su mira en las industrias de aviación y transporte.
Durante junio, una de sus víctimas fue WestJet, que es una de las aerolíneas más grande de Canadá. ¿Cuáles fueron las consecuencias? La interrupción de los servicios internos y también de la aplicación móvil de la compañía. Como este no fue un caso aislado, se encendieron las alarmas del mismísimo FBI.
En un comunicado que el FBI compartió en su cuenta de X, además de exponer rasgos de los ataques (como que se dirigen a grandes empresas y sus proveedores externos de TI), advierte que “cualquier persona en el ecosistema aéreo, incluidos proveedores y contratistas de confianza, podría estar en riesgo”.
Conclusión
Ejemplos como el del grupo cibercriminal Scattered Spider confirman la importancia de estar en alerta para detectar los engaños y contrarrestar las técnicas de ingeniería social que se suelen utilizar para obtener accesos no autorizados.
El modus operandi de esta banda demuestra cómo una respuesta apresurada, sin el análisis adecuado, puede derivar en la exposición de datos sensibles de toda una organización e incluso en ataques de ransomware.
Por eso, más allá de las soluciones de seguridad implementadas, las empresas deben comprender que la capacitación y la concientización en ciberseguridad son herramientas clave para proteger sus activos más valiosos.
