«Pulsé algo y todo desapareció»: la atracción por las mujeres podría convertirse en la principal causa de ciberataques en 2026
Mientras las empresas refuerzan sus defensas digitales, una voz dulce por teléfono convence al personal de TI de entregar sus credenciales.
Los grupos cibercriminales cada vez apuestan menos por exploits complejos y más por las conversaciones con el soporte técnico. Un ejemplo reciente mostró cómo los atacantes intentan aumentar la eficacia de la ingeniería social telefónica mediante la selección de la "voz adecuada".
El 22 de febrero de 2026 la empresa Dataminr detectó en un tablón público de Telegram un anuncio para reclutar mujeres en el grupo Scattered Lapsus$ Hunters (SLH) para una campaña de vishing por voz. A las participantes reclutadas se les ofrece un anticipo por cada llamada de entre 500 y 1 000 dólares y guiones preparados para las conversaciones. El objetivo es contactar con los servicios de soporte de TI, donde la persona que llama intenta hacerse pasar por empleada o contratista y lograr el restablecimiento de la contraseña, el cambio de factores de autenticación u otras acciones que abran acceso a los sistemas corporativos.
Según Dataminr, la apuesta por voces femeninas parece un movimiento pragmático. El personal de soporte técnico con frecuencia se guía por "perfiles" típicos de atacantes, y una presentación inusual junto con un guion seguro puede reducir la desconfianza y acelerar la ejecución de la solicitud.
En los informes de Dataminr, SLH aparece como un "supergrupo" vinculado a la alianza Lapsus$, Scattered Spider y ShinyHunters. El colectivo obtiene ingresos mediante extorsión y brechas en grandes organizaciones, y también se le relaciona con el robo de más de 1,5 mil millones de registros. Entre los afectados en ataques anteriores se mencionan Google, Cisco, Adidas y clientes de Salesforce. Las técnicas preferidas del grupo son la suplantación de SIM y la fatiga de autenticación multifactor.
Dataminr recomienda a las empresas reforzar la protección contra la ingeniería social y preparar específicamente al soporte técnico para este tipo de llamadas. Es útil aplicar una verificación independiente de identidad en las solicitudes de restablecimiento de contraseña o cambio de autenticación multifactor, por ejemplo mediante videollamada o una segunda verificación interna; abandonar los esquemas vulnerables basados en SMS y notificaciones push en favor de claves de hardware con soporte FIDO2; y revisar con mayor atención los registros de eventos en busca de creación de nuevas cuentas y elevación de privilegios poco después de las solicitudes al soporte.