Investigadores de ciberseguridad alertan sobre la operación de dos grupos cibercriminales, Cordial Spider y Snarky Spider, que están ejecutando ataques de robo de datos y extorsión de forma “rápida y de alto impacto”, operando casi exclusivamente dentro de entornos SaaS (Software as a Service) y dejando un rastro mínimo de sus actividades.
Ambos grupos, activos desde al menos octubre de 2025, comparten similitudes operativas notables. Snarky Spider, un grupo nativo de habla inglesa, tiene vínculos con el ecosistema de ciberdelincuencia conocido como “The Com”.
Tácticas y Metodologías de Ataque:
- Vishing y Phishing AiTM: Los atacantes emplean el vishing (phishing por voz) para dirigir a usuarios específicos a páginas maliciosas de Adversary-in-the-Middle (AiTM) temáticas de SSO (Single Sign-On). Allí, capturan datos de autenticación y pivotan directamente hacia aplicaciones SaaS integradas con SSO.
- Operación dentro de Entornos Confiables: Al operar casi exclusivamente dentro de entornos SaaS de confianza, minimizan su huella digital y aceleran el tiempo hasta el impacto, lo que presenta desafíos significativos para la detección y visibilidad de los defensores.
- Impersonación de Personal de TI: Los ataques consisten en suplantar a personal de soporte de TI para engañar a las víctimas, obtener sus credenciales y códigos de autenticación multifactor (MFA), dirigiéndolos a páginas de phishing.
- Omisión de MFA y Mantenimiento de Acceso: Los atacantes registran un nuevo dispositivo para eludir la MFA y mantener el acceso, previa eliminación de los dispositivos existentes.
- Supresión de Notificaciones: Configuran reglas de bandeja de entrada para eliminar automáticamente correos electrónicos de notificación no autorizados sobre el registro de dispositivos.
- Ingeniería Social y Escalada de Privilegios: Posteriormente, se dirigen a cuentas de alta privilegios mediante ingeniería social adicional, extrayendo información de directorios internos de empleados.
- Acceso y Exfiltración de Datos: Una vez que obtienen acceso elevado, irrumpen en entornos SaaS objetivo para buscar archivos de alto valor e informes críticos para el negocio en plataformas como Google Workspace, HubSpot, Microsoft SharePoint y Salesforce, para luego exfiltrar los datos a su infraestructura.
- Abuso de la Relación de Confianza IdP-SaaS: Las credenciales comprometidas a menudo otorgan acceso al proveedor de identidad (IdP) de la organización, proporcionando un punto de entrada único a múltiples aplicaciones SaaS. Al abusar de la relación de confianza entre el IdP y los servicios conectados, los adversarios evitan comprometer aplicaciones SaaS individuales y se mueven lateralmente por todo el ecosistema SaaS de la víctima con una sola sesión autenticada.
Impacto en Sectores Específicos:
La actividad de CL-CRI-1116 ha estado apuntando activamente a los sectores minorista y hotelero desde febrero de 2026.
Técnicas de Evasión:
- Living-off-the-Land (LotL): Las intrusiones dependen principalmente de técnicas “living-off-the-land”, utilizando herramientas y procesos legítimos del sistema operativo para pasar desapercibidos.
- Proxies Residenciales: Utilizan proxies residenciales para ocultar su ubicación geográfica y eludir filtros básicos de reputación basados en IP.
Conclusión:
La sofisticación y velocidad de los ataques ejecutados por Cordial Spider y Snarky Spider resaltan la creciente amenaza que representan los grupos cibercriminales que explotan las eficiencias operativas de los entornos SaaS. La combinación de vishing, phishing AiTM y el abuso de la infraestructura de identidad de las organizaciones permite a estos actores lograr un acceso rápido y una exfiltración de datos significativa con una mínima detección.
Comfidentia
Qué haríamos en estos casos?
Ciberseguridad Defensiva | Protección y Respuesta a Amenazas - Comfidentia
Servicios de ciberseguridad defensiva: forensia digital, desarrollo de software seguro, gestión de vulnerabilidades, threat intelligence y respuesta a incidentes. Protege tus redes y servidores con nuestras soluciones de seguridad defensiva.
Protege tu negocio de amenazas digitales con la Ciberseguridad Defensiva de Comfidentia. Nuestros servicios integrales te proporcionan protección robusta contra ciberataques, ayudándote a asegurar la seguridad de tus datos sensibles.
Análisis Forense
Descubre la verdad oculta en los datos con nuestro servicio deAnálisis Forense. Recopilamos, examinamos y analizamos a fondo cada rastro digital para revelar la causa raíz de cualquier incidente. Nuestro equipo de expertos sigue los pasos clave: Identificación, Adquisición, Análisis y Presentación de evidencia sólida. No pierdas más tiempo buscando respuestas, confía en nuestra experiencia para revelar la evidencia que necesitas.
Gestión de Vulnerabilidades
¡No arriesgues la seguridad de tu empresa! Con nuestras soluciones deGestión de Vulnerabilidades, no solo obtendrás un simple escaneo o evaluación de riesgos, sino una evaluación completa junto con tu equipo. Nuestro enfoque va más allá al proponer soluciones reales y duraderas, adaptadas a las capacidades y necesidades específicas de tu negocio y sistemas.
Protege tu Marca de Amenazas Cibernéticas
Protege tu negocio hoy conBrand Intelligence! Nuestro servicio especializado te proporciona información valiosa sobre posibles actores maliciosos que intentan suplantar tu marca o dominio. Al detectar estas amenazas, puedes tomar medidas rápidas y efectivas para salvaguardar la reputación de tu empresa. No permitas que los ciberdelincuentes dañen tu imagen, confía en Brand Intelligence para mantener tu negocio seguro en todo momento.
Desarrollo de Software Seguro
Con nuestras herramientas y habilidades especializadas, puedes crear aplicaciones y programas a prueba de vulnerabilidades de principio a fin. Nuestro enfoque se basa en un modelo sólido que incluye diseño seguro, proceso de desarrollo, gestión de vulnerabilidades e seguridad de la información. Esto asegura que tu software esté protegido en cada etapa del proceso. Fuente: Ver más en Comfidentia
Otras páginas relacionadas:
Agenda una presentación con Comfidentia
Referencias
Fuente original: Ver artículo original
- CrowdStrike Counter Adversary Operations Report
- Mandiant Report (Enero 2026)
- Palo Alto Networks Unit 42
- Retail & Hospitality Information Sharing and Analysis Center (RH-ISAC)