Escapada al 2026: el FBI cerró un sitio y obligó a los hackers a tomarse las "vacaciones" más largas de la historia

En la noche del 12 de octubre el grupo ciberdelincuencial Scattered Lapsus$ Hunters (SLSH), conocido por sus filtraciones ruidosas y su estilo agresivo, anunció que suspende sus actividades hasta 2026. El motivo fue la incautación por parte del FBI de su sitio principal. Mensaje sobre su "autodisolución" apareció en el canal de Telegram del grupo y estuvo acompañado de expresiones duras y amenazas contra la agencia estadounidense. Los integrantes prometieron "vengarse" del servicio y calificaron lo sucedido como una "retirada temporal al anonimato". Al final de la publicación los autores escribieron que en su siguiente regreso "el FBI sentirá su ira" y prometieron lograr el despido del jefe de la unidad cibernética del buró, Brett Liserman.

Sin embargo, declaraciones como esta no son nuevas para ellos. Hace apenas un mes SLSH ya se había "trasladado a la sombra", pero tres días después volvió a reanudar la actividad. En el breve tiempo de su existencia el colectivo se convirtió en uno de los grupos delictivos más comentados en el ciberespacio, destacándose por la magnitud de los ataques y la composición inusual de sus integrantes: casi todos provienen de países occidentales y tienen el inglés como lengua materna. La agrupación surgió a comienzos de año e incluye exmiembros de Scattered Spider, Lapsus$ y Shiny Hunters, por lo que desde el inicio atrajo la atención de las autoridades. En las últimas semanas varios presuntos miembros ya han sido arrestados.

Las autoridades británicas informaron recientemente sobre la detención de dos adolescentes acusados de un ataque contra la autoridad de transporte de Londres. La investigación los considera vinculados al grupo Scattered Spider. Antes, en julio, la policía arrestó a otras cuatro personas sospechosas de los hackeos a grandes minoristas británicos — Co-op, M&S y Harrods. Aunque entonces no hubo una confirmación oficial de la relación con SLSH, los investigadores no la descartaron.

En los últimos días antes de la "retirada" los integrantes del colectivo volvieron a estar en el centro de atención: publicaron en la red datos de grandes empresas — Qantas, Vietnam Airlines, Gap y Fujifilm. Los enlaces a los archivos alojados en Limewire fueron eliminados poco después, sin embargo recursos independientes lograron verificar parte de las filtraciones. La aerolínea Qantas, cuyas filtraciones se conocieron ya en verano, actualizó una sección en su sitio y confirmó que la brecha afectó a alrededor de seis millones de clientes. Representantes de la compañía advirtieron que una resolución vigente del Tribunal Supremo de Australia prohíbe el acceso a los archivos robados, y recomendaron a los usuarios que sean cautelosos debido a posibles intentos de fraude.

El servicio HaveIBeenPwned confirmó que la base de Vietnam Airlines contenía datos similares de 7,3 millones de pasajeros. La plataforma Atlas Privacy precisó que entre la información robada de Gap había más de 250 000 direcciones de correo electrónico únicas, más de 150 000 números de teléfono y alrededor de 146 000 direcciones postales. El análisis de la estructura mostró que los datos coinciden con exportaciones de Salesforce PersonAccount con registros de clientes y metadatos de sistemas. Según los atacantes, obtuvieron esta información tras el ataque a Salesloft Drift — un complemento para Salesforce. Al mismo tiempo, Salesforce declaró que su infraestructura no fue comprometida.

En el canal de Telegram de SLSH escribieron que "todo lo que debía filtrarse ya fue publicado", y que las demás empresas supuestamente pagaron rescate. Los analistas, sin embargo, piden no tomar esas declaraciones como un hecho: al grupo se le han detectado exageraciones en repetidas ocasiones. Por ejemplo, hace poco el grupo anunció una filtración en el operador australiano Telstra y afirmó la compromisión de datos de 19 millones de usuarios. La compañía desmintió esas afirmaciones, explicando que se trataba de datos recopilados de fuentes abiertas, sin contraseñas, datos bancarios ni documentos.

ThreatAware señaló que las últimas publicaciones de SLSH deben considerarse como una forma de chantaje: el objetivo era intimidar y presionar a las organizaciones que se negaron a pagar. Además, los clientes afectados deben esperar ataques de phishing y ataques personalizados dirigidos al robo de datos financieros o intentos de suplantación de identidad. Según la empresa, el grupo frecuentemente utiliza técnicas de ingeniería social, llamadas telefónicas y cargadores de datos modificados, lo que subraya la necesidad de reforzar las verificaciones al restablecer contraseñas y mejorar la ciberhigiene interna de las empresas.