En la segunda mitad del mes pasado, CrowdStrike, uno de los proveedores de ciberseguridad más relevantes del mercado global, confirmó una filtración insider que afectó a parte de sus sistemas internos. Un empleado compartió con terceros capturas de pantalla de su entorno de trabajo, que posteriormente fueron difundidas por la coalición cibercriminal Scattered Lapsus$ Hunters para afirmar públicamente una supuesta “comprometida” de la infraestructura de la compañía.
Filtración insider: qué información se expuso y por qué importa
Las imágenes se publicaron en un canal de Telegram vinculado a Scattered Lapsus$ Hunters, alianza que aglutina a miembros de los grupos Scattered Spider, LAPSUS$ y ShinyHunters. En las capturas se apreciaban paneles de administración internos, enlaces a recursos corporativos y, de forma destacada, una consola de Okta, utilizada como solución de inicio de sesión único (SSO) para el acceso de empleados a aplicaciones internas.
De acuerdo con CrowdStrike, el alcance del incidente se limitó a información visual: pantallazos del escritorio del trabajador implicado, sin indicios de acceso remoto o explotación directa de sistemas. La empresa subraya que no se produjo un compromiso técnico de su infraestructura ni de los datos de clientes. Sin embargo, la exposición de interfaces, rutas internas y nomenclaturas de sistemas incrementa el valor para tareas de reconocimiento (reconnaissance) y puede servir como base para diseñar ataques dirigidos más sofisticados en el futuro.
La versión de los atacantes: compra de acceso y uso de SSO cookies
Según informó Bleeping Computer, un integrante de ShinyHunters aseguró haber pactado con el insider un pago de 25 000 dólares a cambio de acceso a la red de CrowdStrike. Como parte de ese acuerdo, el empleado habría proporcionado SSO cookies de autenticación, es decir, identificadores de sesión que permiten reutilizar un inicio de sesión ya validado sin requerir nuevamente usuario y contraseña.
Este tipo de secuestro de sesión se ha convertido en una técnica recurrente en ataques avanzados contra entornos corporativos, especialmente cuando se apoyan en plataformas de identidad como Okta o Azure AD. No obstante, en este caso, cuando los atacantes intentaron aprovechar los datos entregados, CrowdStrike ya había detectado la actividad sospechosa, bloqueado la cuenta del empleado e iniciado una investigación interna. La compañía afirma que toda tentativa de acceso no autorizado fue frustrada y que el caso se ha puesto en conocimiento de las autoridades competentes.
Gainsight, Salesforce y el precedente del ataque a Salesloft
Scattered Lapsus$ Hunters trató de vincular este incidente con una filtración reciente en Gainsight, proveedor de soluciones de Customer Success estrechamente integrado con Salesforce. Salesforce ya había alertado sobre el impacto potencial de ese evento en las aplicaciones públicas de Gainsight conectadas a su ecosistema.
El caso recuerda al ataque sufrido por Salesloft en 2025, donde se abusó de tokens OAuth robados asociados a la integración con el chatbot Drift, lo que abrió la puerta a datos altamente sensibles como contraseñas, claves de AWS o tokens de Snowflake. En el episodio actual, CrowdStrike niega categóricamente cualquier relación entre la filtración insider y el incidente de Gainsight, y enmarca lo ocurrido en un contexto puramente interno y limitado al empleado en cuestión.
Scattered Lapsus$ Hunters y la evolución hacia Ransomware-as-a-Service
En paralelo, los grupos ShinyHunters y Scattered Spider, componentes clave de Scattered Lapsus$ Hunters, anunciaron recientemente el lanzamiento de su propia plataforma Ransomware-as-a-Service (RaaS), denominada ShinySp1d3r. Con este movimiento, dejan de depender de familias de ransomware de terceros como ALPHV/BlackCat, RansomHub, Qilin o DragonForce, y avanzan hacia una “ecosistema de extorsión como servicio” controlado de extremo a extremo.
El modelo RaaS permite a los operadores suministrar el código de cifrado, la infraestructura de mando y control, y los canales de negociación a afiliados, a cambio de una comisión sobre los rescates pagados. Combinado con la compra sistemática de accesos insider, este enfoque potencia la capacidad de estos grupos para impactar a grandes proveedores de servicios en la nube y de ciberseguridad.
Riesgo insider y lecciones para las empresas: identidades, SSO y Zero Trust
Los informes de referencia en el sector, como el Verizon Data Breach Investigations Report (DBIR), muestran que el factor humano —incluyendo acciones maliciosas de insiders y errores de personal— está presente en una parte sustancial de los incidentes de seguridad. La estrategia de grupos como ShinyHunters de pagar directamente a empleados confirma una tendencia clara: a medida que los perímetros, EDR y soluciones NGAV se endurecen, el eslabón más débil vuelve a ser la persona con credenciales legítimas.
Las organizaciones deben reforzar varias capas de defensa: aplicar con rigor el principio de mínimo privilegio, monitorizar de forma continua la actividad anómala de cuentas, proteger las sesiones SSO y las cookies (con detección de uso desde ubicaciones, dispositivos o patrones inusuales), avanzar hacia modelos Zero Trust e invertir en formación continua del personal. La gestión proactiva del riesgo insider —desde los procesos de selección y revisión, hasta canales de denuncia anónima y una cultura que desaliente el fraude— es ya un elemento imprescindible en cualquier programa de ciberseguridad maduro.
El incidente de CrowdStrike evidencia que incluso los actores más avanzados del sector no son inmunes a las amenazas internas. Al mismo tiempo, la detección rápida, el bloqueo oportuno de la cuenta implicada y la ausencia de señales de compromiso técnico profundo apuntan a procesos de respuesta bien establecidos. Para empresas de todos los tamaños, este caso es una llamada a revisar políticas de acceso, monitoreo de sesiones, integraciones basadas en OAuth y SSO, y a tratar el riesgo insider no como una excepción, sino como un vector de ataque probable que debe gestionarse de forma sistemática y continua.
