Más allá de Rusia, China y Corea del Norte: “The Com”, la red cibercriminal que une atacantes de Estados Unidos, Reino Unido, Australia, Canadá y Francia.

Imagen: Ozy

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.

En el panorama actual de la ciberseguridad, las amenazas evolucionan de manera constante, adaptándose a las defensas y explorando nuevas vías de ataque. Dos grupos que ilustran con claridad esta capacidad de adaptación y colaboración son ShinyHunters y Scattered Spider, cuya posible alianza podría estar vinculada a una red internacional más amplia conocida como The Com.

ShinyHunters es un grupo de ciberdelincuentes motivado principalmente por el beneficio económico. Activo desde al menos 2020, se ha especializado en la explotación de bases de datos y el robo de credenciales de alto valor. Sus objetivos han incluido empresas de alto perfil en sectores como retail, aviación y seguros. Aunque tras una serie de arrestos en junio de 2024 el grupo redujo su actividad, ha resurgido con tácticas más sofisticadas.

Históricamente, sus métodos han consistido en explotar vulnerabilidades de manera sigilosa para extraer datos y filtrarlos en foros de la dark web, como BreachForums. Sin embargo, sus campañas más recientes han incorporado técnicas avanzadas de phishing mediante dominios falsos que imitan herramientas legítimas como Salesforce Data Loader. Estos dominios, registrados a través de servicios como GMO Internet y protegidos por Cloudflare, han permitido ejecutar campañas de vishing (phishing telefónico), donde los atacantes se hacen pasar por personal de soporte técnico para autorizar aplicaciones maliciosas y sustraer credenciales.

Una vez comprometidos los sistemas, el grupo utiliza APIs para exfiltrar la información a través de VPNs como Mullvad, continuando con la extorsión a las víctimas. Esta transición desde la explotación silenciosa hacia la ingeniería social sugiere una posible influencia o colaboración externa.

Por su parte, Scattered Spider es un grupo especializado en tácticas de ingeniería social, incluyendo vishing, explotación de la fatiga de autenticación multifactor (MFA) y suplantación de dominios. Sus ataques se centran en sectores como tecnología, finanzas y servicios profesionales, con especial énfasis en la exfiltración de datos y el despliegue de ransomware.

Se les reconoce por utilizar infraestructura compartida y phishing kits para falsificar páginas de inicio de sesión de sistemas Single Sign-On (SSO). Entre sus víctimas se encuentran empresas de Estados Unidos, Reino Unido y Australia. En 2025, se han registrado más de 700 dominios de suplantación asociados al grupo, con un aumento del 12% en los ataques a servicios financieros desde julio. Sus campañas suelen emplear señuelos relacionados con “tickets” o “helpdesk”, con el objetivo de sustraer credenciales de Okta y Salesforce.

Scattered Spider representa una evolución en el cibercrimen, combinando herramientas legítimas con malware personalizado para evadir mecanismos de detección.

La unidad de investigación de SILIKN ha confirmado, a partir de un análisis, la existencia de una posible alianza entre ShinyHunters y Scattered Spider, activa desde al menos julio de 2024. Entre las pruebas circunstanciales se encuentra el uso de infraestructura compartida, como dominios de phishing similares, y campañas coordinadas contra instancias de Salesforce.

Un indicio relevante apareció en mayo de 2024 en BreachForums, donde un alias denominado “Sp1d3rhunters” — una fusión de los nombres de ambos grupos — filtró datos de Ticketmaster previamente atribuidos a ShinyHunters. En Telegram, este alias ha afirmado que ambos grupos son, en esencia, el mismo, combinando la capacidad de ShinyHunters para explotar bases de datos con la experiencia de Scattered Spider en ingeniería social, bajo el amparo de una red mayor.

Los ataques se concentran principalmente en Estados Unidos, que en el segundo trimestre de 2025 representó el 67% de las víctimas de ransomware, debido a su alta densidad de empresas tecnológicas. Palabras clave como “ticket”, “okta” o “helpdesk” en nombres de dominio se han convertido en indicadores tempranos de estas campañas.

La atribución geográfica de ambos grupos es compleja, ya que operan de forma descentralizada y utilizan herramientas como VPNs para ocultar su ubicación. No obstante, existen algunos indicios. En el caso de ShinyHunters, se han producido arrestos en Francia en 2022, lo que sugiere posibles vínculos con ese país. También se han identificado conexiones con filtraciones en foros de la dark web que podrían apuntar hacia Europa del Este, como Rusia o Ucrania, aunque sin confirmación. Su infraestructura recurre a registradores japoneses como GMO Internet, aunque esta elección parece responder a cuestiones operativas. Entre sus víctimas se incluyen empresas de Estados Unidos, Reino Unido, Corea del Sur, Turquía, Italia y Suecia.

En cuanto a Scattered Spider, se asocia con ciberdelincuentes de habla inglesa, lo que apunta a países como Estados Unidos, Reino Unido, Canadá o Australia. Algunos arrestos se han producido en Reino Unido y Estados Unidos, reforzando esta hipótesis. Aunque su actividad se centra en Estados Unidos, también han atacado objetivos en Reino Unido y Australia.

Ambos grupos parecen formar parte de redes internacionales sin un anclaje geográfico definido, y podrían estar conectados con una estructura criminal más grande: The Com.

The Com — abreviatura de The Community — es una red internacional descentralizada de ciberdelincuentes, principalmente angloparlantes, que opera a través de plataformas como Discord, Telegram y foros privados. Está compuesta por miles de individuos, en su mayoría jóvenes de entre 11 y 25 años, y se caracteriza por su estructura fluida y ausencia de liderazgo central. De acuerdo con el FBI, representa una amenaza significativa, ya que combina ciberdelitos con violencia física y explotación sexual de menores.

Dentro de The Com existen varios subgrupos:

- Hacker Com: Especializado en ciberataques como DDoS, robo de datos, ransomware, SIM-swapping y robo de criptomonedas. Scattered Spider es un ejemplo destacado, conocido por sus ataques contra empresas como MGM Resorts.

- IRL Com (In Real Life): Enfocado en violencia física, incluyendo swatting (falsas denuncias a emergencias), secuestros, asaltos y agresiones por encargo, coordinadas a través de redes sociales.

- Extortion Com: Dedicado a la extorsión y sextorsión, especialmente contra menores, empleando técnicas como doxxing, chantaje y coerción para obtener material de abuso sexual infantil (CSAM) o contenido violento.

Los integrantes de The Com actúan por diversos motivos: beneficio económico, notoriedad, venganza, ideología o gratificación sexual. La búsqueda de “clout” (estatus o reconocimiento social) impulsa la comisión de actos extremos. Para encubrir sus identidades, utilizan VPNs y métodos de lavado de criptomonedas. Además, reclutan a jóvenes vulnerables a través de videojuegos como Minecraft o Roblox y redes sociales, prometiéndoles dinero o popularidad, bajo la errónea creencia de que los menores evaden consecuencias legales.

Scattered Spider es considerado una evolución de Hacker Com, y su posible colaboración con ShinyHunters incrementa la amenaza al fusionar tácticas y recursos.

The Com no sigue el modelo tradicional de los grupos cibercriminales, ya que combina delitos digitales con violencia física y explotación de menores. Su enfoque en jóvenes tanto como víctimas como reclutas, sumado a su creciente sofisticación, lo convierte en una amenaza prioritaria. Sus dinámicas internas tienen tintes de “culto”, donde la competencia por estatus fomenta el extremismo.

La posible alianza entre ShinyHunters y Scattered Spider, bajo la influencia de The Com, pone de relieve la necesidad urgente de adoptar defensas proactivas frente a amenazas híbridas que explotan simultáneamente vulnerabilidades humanas y tecnológicas. Ante redes criminales fluidas y globales, la ciberseguridad debe anticiparse y actuar con rapidez para mitigar su alcance y reducir su impacto.

Para más información, visite: https://www.silikn.com/