Investigadores de Palo Alto Networks han detectado la actividad de una nueva operación criminal, denominada Jingle Thief, orientada a retailers y empresas de servicios al consumidor. Su objetivo es comprometer entornos en la nube —principalmente Microsoft 365 y Entra ID— para emitir tarjetas regalo no autorizadas y revenderlas en mercados grises, una táctica de monetización de bajo riesgo que a menudo pasa desapercibida durante meses.
Cómo opera Jingle Thief: del phishing al abuso de Entra ID
La cadena de ataque comienza con phishing de precisión y smishing (phishing por SMS) para robar credenciales de empleados. Con acceso inicial a M365, los intrusos realizan reconocimiento en SharePoint y OneDrive buscando procedimientos internos sobre emisión y seguimiento de tarjetas regalo, documentación de procesos financieros, configuraciones de VPN e instrucciones de acceso.
Tras ese reconocimiento, amplían su huella: envían correos de phishing desde cuentas ya comprometidas, crean reglas de reenvío automático y ocultan rastros moviendo mensajes salientes a la carpeta de “Eliminados”. Los analistas señalan un uso sistemático de Entra ID para manipular identidades: registro de autenticadores falsos para sortear el MFA, y alta de dispositivos controlados por el atacante con el fin de mantener persistencia incluso tras restablecer contraseñas o revocar tokens.
Monetización silenciosa: por qué las tarjetas regalo son el objetivo
Jingle Thief prioriza el abuso de identidades frente al despliegue de malware personalizado, reduciendo la probabilidad de detección por soluciones EDR en endpoints. Las tarjetas regalo son un blanco atractivo: se monetizan con facilidad, exigen pocos datos personales para su uso y son difíciles de rastrear. Esta baja “toxicidad” transaccional complica la respuesta y el análisis forense, especialmente en picos estacionales de ventas.
Alcance, atribución y cronología de los ataques
Palo Alto Networks monitoriza este comportamiento como CL-CRI-1032 y, con confianza moderada, lo vincula con los clústeres Atlas Lion y Storm‑0539, sobre el que Microsoft ya había publicado advertencias. La denominación “Jingle Thief” refleja su estacionalidad: la actividad repunta en campañas de rebajas y vacaciones, cuando el volumen de operaciones con tarjetas regalo es máximo.
Entre abril y mayo de 2025 se registró una oleada coordinada contra varias multinacionales. En un incidente, los atacantes mantuvieron acceso durante 10 meses y comprometieron hasta 60 cuentas. Según los investigadores, la permanencia en redes víctimas suele prolongarse durante meses e incluso superar el año, permitiendo una preparación metódica antes de emitir tarjetas no autorizadas.
Tácticas y técnicas a vigilar en Microsoft 365 y Entra ID
Las TTP observadas se alinean con MITRE ATT&CK: T1566 Phishing, T1078 Valid Accounts, T1098 Account Manipulation (suplantación de MFA y registro de dispositivos), T1114 Email Collection (reglas de reenvío) y T1021 para movimientos laterales en M365/Entra ID. El principal riesgo es la comprometida de identidades y servicios cloud, más que de los endpoints, lo que exige telemetría y respuesta específicas en la capa de identidad.
Medidas de mitigación clave para retail y servicios
Refuerce la autenticación: adopte MFA resistente al phishing (FIDO2, certificados), evite voz/SMS como factor principal y restrinja la autorregistro de autenticadores y dispositivos en Entra ID.
Acceso Condicional y señales de ataque: habilite políticas con evaluación de riesgo, bloquee protocolos heredados, desactive por defecto el reenvío externo y audite la creación/modificación de reglas de buzón desde el SIEM.
Mínimo privilegio y segmentación: aplique Just‑in‑Time/Just‑Enough Admin, revise periódicamente cuentas de servicio y segregue los sistemas de emisión, canje y control de tarjetas regalo.
Monitorización en M365/Entra ID: supervise altas de dispositivos, cambios en factores de MFA, emisión de tokens de larga duración, inicios de sesión desde geografías/ASN inusuales y actividad en SharePoint/OneDrive asociada a términos como “gift card”, “voucher”, “redemption” o “PIN”.
Jingle Thief confirma que el fraude basado en identidades en la nube es una vía de monetización madura para el cibercrimen. Las organizaciones del sector retail y de servicios deben combinar una gobernanza estricta de accesos con monitorización proactiva en Microsoft 365/Entra ID, reforzar MFA, bloquear reglas de reenvío “silenciosas”, controlar el alta de dispositivos y realizar simulacros de phishing antes de temporadas pico. Actuar ahora reduce la ventana de ataque y puede impedir la emisión de tarjetas regalo fraudulentas.
