Check Point Research detecta más de 500 dominios de phishing vinculados a Scattered Spider que suplantan accesos corporativos

Ciudad de México a 9 de julio de 2025

La investigación identifica patrones en dominios de phishing que permiten mitigar de forma proactiva los ataques de ingeniería social y suplantación de identidad a gran escala.

Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, ha desvelado nuevos indicadores de ataque vinculados al grupo de ciber amenazas conocido como Scattered Spider. Este grupo, caracterizado por su alto grado de sofisticación en técnicas de ingeniería social, ha ampliado su radio de acción más allá del entorno empresarial, dirigiéndose ahora con intensidad hacia el sector de la aviación.

En las últimas semanas, diversos medios y agencias de inteligencia han vinculado a Scattered Spider con ciberataques dirigidos a aerolíneas internacionales. Uno de los incidentes más graves ha sido el ataque a Qantas este mismo mes, en el que se expusieron datos de seis millones de clientes. Entre las tácticas empleadas se encuentran el uso abusivo del segundo factor de autenticación (MFA fatigue) y la suplantación telefónica (vishing), ambas asociadas históricamente a este grupo. Casos similares han afectado a compañías como Hawaiian Airlines y WestJet, destacando la necesidad urgente de reforzar los controles de seguridad en proveedores externos del sector aéreo.

Check Point Research ha identificado más de 500 dominios vinculados a campañas de Scattered Spider, cuya estructura imita portales legítimos de acceso corporativo para engañar a empleados y obtener sus credenciales. Algunos de los patrones más comunes incluyen:

nombredevíctima-sso.com

nombredevíctima-servicedesk.com

nombredevíctima-okta.com

Ejemplos observados en esta infraestructura de phishing incorporan: chipotle-sso[.]com, gemini-servicedesk[.]com y hubspot-okta[.]com. Aunque no todos estos dominios han sido confirmados como maliciosos, su similitud con los métodos del grupo sugiere un alto riesgo de uso en campañas de phishing. Esta estrategia evidencia el enfoque oportunista del grupo, que se adapta a vulnerabilidades de alto valor en distintos sectores como tecnología, retail, aviación, manufactura, servicios financieros y plataformas empresariales.

Según inteligencia pública, Scattered Spider está activo desde al menos 2022 y está compuesto en su mayoría por individuos jóvenes (de 19 a 22 años), originarios de EE. UU. y Reino Unido. Sus ataques, de motivación económica, se centran en el robo de credenciales, ransomware y accesos a infraestructuras en la nube. Utilizan técnicas avanzadas de ingeniería social como el phishing dirigido, SIM swapping, el abuso del MFA (“push bombing”), la suplantación por SMS y teléfono, así como la manipulación de empleados para instalar herramientas de acceso remoto o aprobar solicitudes de autenticación.

Las herramientas empleadas por el grupo incluyen plataformas como Fleetdeck.io, Level.io, Ngrok, Pulseway, ScreenConnect, Splashtop, Tactical RMM, Tailscale, TeamViewer y Mimikatz. También se ha identificado el uso de malware como WarZone RAT, Raccoon Stealer y Vidar Stealer, además de ransomware como BlackCat / ALPHV bajo el modelo Ransomware-as-a-Service.

Con el objetivo de mitigar esta amenaza, Check Point Research recomienda las siguientes estrategias de defensa adaptadas tanto a empresas como al sector de la aviación:

Para empresas:

Monitorizar de forma continua los registros de dominios y bloquear aquellos sospechosos que sigan patrones vinculados a Scattered Spider.

Realizar formaciones internas y simulaciones específicas centradas en el abuso del MFA y el vishing.

Implementar soluciones de autenticación inteligente con detección de anomalías de comportamiento.

Asegurar una protección sólida de los endpoints con herramientas de detección y respuesta avanzadas (EDR).

Para organizaciones del sector de la aviación:

Auditar a los proveedores de servicios, especialmente centros de atención al cliente, en cuanto a controles de acceso y madurez de seguridad.

Exigir verificaciones de identidad multifactor para reinicios de contraseña y solicitudes relacionadas con MFA.

Establecer manuales de respuesta ante incidentes adaptados a fugas de datos sensibles, como los de pasajeros y plataformas de fidelización.

“Los ataques de Scattered Spider reflejan cómo los grupos de amenazas más avanzados perfeccionan técnicas de ingeniería social para comprometer infraestructuras críticas, especialmente en sectores estratégicos como el de la aviación”, afirmaRafael López, ingeniero de seguridad especializado en protección de correo electrónico de Check Point Software. “Ante riesgos emergentes como estos, es fundamental anticiparse con soluciones de ciberseguridad capaces de detectar, prevenir y responder en tiempo real. Plataformas como Harmony Email & Collaboration, Harmony Endpoint o CloudGuard nos permiten proteger el correo, los dispositivos y los entornos multi-nube frente a campañas cada vez más sofisticadas, mientras que Infinity ThreatCloud AI y Quantum Security Gateway aportan inteligencia proactiva y protección escalable para blindar a las organizaciones desde todos los frentes”.

Sigue Check Point Research vía:

Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_

Acerca de Check Point Research

Check Point Research proporciona inteligencia sobre ciberamenazas a los clientes de Check Point Software y a la comunidad de inteligencia. El equipo de investigación recopila y analiza datos de ciberataques globales almacenados en ThreatCloud para mantener los ciberdelincuentes a raya, al tiempo que se asegura de que todos los productos de Check Point estén actualizados con las últimas protecciones. El equipo de investigación está formado por más de 100 analistas e investigadores que cooperan con otros proveedores de seguridad, las fuerzas de seguridad y varios CERTs.

Sigue a Check Point Software a través de:

LinkedIn:https://www.linkedin.com/showcase/check-point-software-espana/
X: @CheckPointSpain
Facebook: https://www.facebook.com/checkpointsoftware
Blog: https://blog.checkpoint.com/

YouTube: https://www.youtube.com/user/CPGlobal

Acerca de Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. es un proveedor líder en soluciones de ciberseguridad en la nube basadas en IA que protege a más de 100.000 empresas a nivel mundial. Check Point Software aprovecha el poder de la IA en todos los ámbitos para mejorar la eficiencia y precisión de la ciberseguridad a través de su Plataforma Infinity, con tasas de detección líderes en la industria que permiten una anticipación proactiva a las amenazas y tiempos de respuesta más ágiles e inteligentes. La plataforma integral incluye soluciones cloud compuestas por Check Point Harmony para proteger el entorno laboral, Check Point CloudGuard para asegurar la cloud, Check Point Quantum para proteger la red y Check Point Infinity Core Services para operaciones y servicios de seguridad colaborativos.

©2025 Check Point Software Technologies Ltd. Todos los derechos reservados.

Aviso legal sobre declaraciones prospectivas

Este comunicado de prensa contiene declaraciones prospectivas. Las declaraciones prospectivas generalmente se refieren a eventos futuros o a nuestro desempeño financiero u operativo futuro. Las declaraciones prospectivas incluidas en este comunicado de prensa incluyen, pero no se limitan a, declaraciones relacionadas con nuestras expectativas respecto al crecimiento futuro, la expansión del liderazgo de Check Point Software en la industria, la mejora del valor para los accionistas y la entrega de una plataforma de ciberseguridad líder en la industria a clientes de todo el mundo. Nuestras expectativas y creencias sobre estos temas pueden no materializarse, y los resultados o eventos futuros están sujetos a riesgos e incertidumbres que podrían hacer que los resultados reales o los eventos difieran significativamente de los proyectados.

Las declaraciones prospectivas contenidas en este comunicado de prensa también están sujetas a otros riesgos e incertidumbres, incluyendo aquellos descritos con mayor detalle en nuestros archivos ante la Comisión de Bolsa y Valores (SEC), incluyendo nuestro Informe Anual en el Formulario 20-F presentado ante la SEC el 2 de abril de 2024. Las declaraciones prospectivas en este comunicado de prensa se basan en la información disponible para Check Point Software a la fecha de este documento, y Check Point Software renuncia a cualquier obligación de actualizar cualquier declaración prospectiva, salvo que lo exija la ley.

Moises Hernandez,moises.hernandez@market21.com.mx