La empresa estadounidense de ciberseguridad CrowdStrike ha informado recientemente sobre un incidente interno que ha puesto en alerta al sector. Un empleado con acceso privilegiado habría compartido capturas de pantalla de los sistemas internos con grupos de ciberdelincuentes, material que luego apareció filtrado en canales de Telegram administrados por el colectivo nada más y nada menos que Scattered Lapsus$ Hunters.
A pesar de la gravedad aparente, CrowdStrike aseguró que no se produjo ninguna brecha de seguridad, que todos los datos de los clientes permanecen protegidos y que la compañía ya ha tomado medidas inmediatas para frenar la filtración y colabora con las autoridades.
CrowdStrike confirma fuga interna, pero sin impacto en clientes
Según ha explicado la compañía, la investigación interna permitió detectar y despedir al empleado implicado antes de que los atacantes lograrán tener acceso real a los sistemas corporativos.
Identificamos y despedimos a un empleado sospechoso el mes pasado tras una investigación interna que determinó que compartía fotos de la pantalla de su ordenador externamente, declaró un portavoz de CrowdStrike a Bleeping Computer.
Nuestros sistemas nunca se vieron comprometidos y los clientes permanecieron protegidos en todo momento. Hemos remitido el caso a las fuerzas del orden pertinentes.
Según ha informado Bleeping Computer, los hackers de ShinyHunters, Scattered Spider y Lapsus$ habrían publicado imágenes en sus canales, presumiendo haber ofrecido 25.000 dólares al informante a cambio de tener acceso a la red de CrowdStrike. No obstante, para cuando los ciberdelincuentes intentaron aprovechar las cookies de autenticación SSO que el infiltrado les había entregado, la empresa ya había bloqueado su acceso.
Los Cazadores de Lapsus$ Dispersos: una alianza peligrosa
Los grupos ShinyHunters, Scattered Spider y Lapsus$ operan ahora bajo el nombre conjunto de “Cazadores de Lapsus$ Dispersos”, y se han posicionado como una de las amenazas más activas de 2025. Recientemente, lanzaron un sitio con datos para extorsionar a grandes corporaciones tras una ola de ataques a instancias de Salesforce.
Entre las empresas afectadas o amenazadas figuran gigantes como Google, Cisco, Allianz Life, Qantas, Adidas, Workday, Dior, Louis Vuitton y Tiffany & Co., así como otras marcas globales del sector financiero, tecnológico y de lujo.
Estos actores han estado vinculados también a ataques de phishing por voz, robos de datos confidenciales y operaciones de ransomware como servicio (RaaS), utilizando en el pasado encriptadores de bandas como ALPHV/BlackCat, RansomHub y DragonForce.
De filtraciones a ransomware: evolución del cibercrimen organizado
Los expertos han destacado que los grupos de extorsión están diversificando sus métodos, combinando espionaje interno, robo de credenciales y ransomware en una misma estrategia. La aparición de una nueva plataforma denominada ShinySp1d3r refuerza esta tendencia hacia un modelo “ransomware como servicio”, donde distintos colectivos colaboran para maximizar sus ganancias ilícitas.
ShinyHunters incluso afirmó haber iniciado una nueva ola de ataques que comprometió instancias de Salesforce de más de 280 empresas, incluyendo nombres de alto perfil como LinkedIn, GitLab, Atlassian, Verizon, DocuSign y Malwarebytes.
El caso de CrowdStrike resalta la vulnerabilidad que puede representar una sola persona dentro de una organización. Aunque la compañía actuó a tiempo, el incidente refleja el auge de los insider threats, empleados que, por dinero o coerción, terminan colaborando con grupos criminales.