El 18 de junio de 2026, el grupo de extorsion ShinyHunters anuncio en su sitio de filtraciones una ampliacion significativa de su infraestructura: nuevos servidores espejo, distribucion de archivos mediante torrent y un sistema de cola con prueba de trabajo (Proof of Work) para gestionar la demanda de descargas. El mensaje del grupo fue directo: “estos archivos permaneceran accesibles publicamente con facilidad hasta el fin de los tiempos”. El anuncio coincide con un informe publicado el mismo dia por Cato Networks que documenta como ShinyHunters ha sobrevivido a multiples detenciones, incautaciones de foros y la condena de su presunto fundador desde que el grupo aparecio por primera vez en 2019. Para las empresas espanolas, el caso es relevante mas alla de lo anecdotico: ShinyHunters es el mismo grupo cuya campana de explotacion del zero-day de Oracle PeopleSoft (CVE-2026-35273) analizamos la semana pasada, y representa el patron de extorsion mas persistente y adaptable del panorama de amenazas actual.

¿Que ha anunciado ShinyHunters y que dice la investigacion de Cato Networks?

Los hechos documentados por Cybernews, Cato Networks y BankInfoSecurity son los siguientes:

  • Ampliacion de infraestructura: ShinyHunters desplego multiples servidores espejo para sus archivos filtrados, con el objetivo declarado de mejorar la velocidad y fiabilidad de las descargas, especialmente durante los picos de trafico que se producen cuando se publica una victima de alto perfil.
  • Distribucion por torrent: el grupo planea ofrecer enlaces torrent para todos los archivos alojados, lo que crea una red de distribucion mucho mas dificil de desmantelar que un unico servidor centralizado.
  • Sistema de cola con Proof of Work: antes de poder descargar datos filtrados, el ordenador del usuario debe resolver un pequeno rompecabezas computacional, una tecnica habitualmente usada para prevenir abusos automatizados y sobrecarga del servidor.
  • Persistencia de los datos: el grupo aseguro que no se ha perdido ningun dato durante la actualizacion, manteniendo copias de seguridad de todo lo filtrado desde el primer dia.
  • Historial de resiliencia documentado por Cato Networks: a pesar de multiples incautaciones de foros (RaidForums, BreachForums), de sobrevivir honeypots dirigidos, de la condena del presunto fundador Sebastien Raoult en 2023 y de las detenciones de varios administradores de alto perfil en Francia el ano pasado, la marca “ShinyHunters” ha reaparecido sistematicamente en cuestion de dias o semanas tras cada golpe.
  • Evolucion hacia Scattered LAPSUS$ Hunters (SLH): en 2025, ShinyHunters se fusiono con otros colectivos para formar SLH, combinando el reconocimiento de marca de ShinyHunters, la experiencia en ingenieria social de Scattered Spider y las tacticas agresivas de LAPSUS$.
  • Cambio de metodologia: el grupo ha evolucionado de un perfil centrado en bases de datos hacia el abuso de logica de negocio: explotacion de integraciones SaaS de confianza, aplicaciones conectadas via OAuth e ingenieria social dirigida a mesas de ayuda (help-desk social engineering), en lugar de depender unicamente de phishing o intrusion tradicional.
  • Victimas reivindicadas solo en junio de 2026: Kodak (2 millones de registros), JCPenney, Madison Square Garden, Sysco (61 millones de registros via Salesforce) y, el mismo jueves del anuncio, Amazon One Medical, con 8.8 TB de datos reivindicados y un plazo limite del 22 de junio antes de la publicacion.
  • Campana activa desde septiembre de 2025: el grupo ha acumulado cientos de victimas corporativas de alto perfil, la mayoria vinculadas a una campana mundial que exploto mas de 1.5 millones de registros de instancias de Salesforce mal configuradas, ademas de ataques a Snowflake, Okta, Drift y Salesloft.

Por que la resiliencia de ShinyHunters es la leccion mas importante para las empresas en 2026

El verdadero riesgo de ShinyHunters no es un ataque puntual: es la demostracion de que un modelo de extorsion puede sobrevivir indefinidamente al esfuerzo combinado de fuerzas del orden de multiples paises. Cuatro factores explican por que esto deberia preocupar a cualquier responsable de seguridad:

  1. El cumplimiento de la ley ya no es suficiente disuasion. Incautaciones de foros, detenciones de administradores y la condena de su fundador no han logrado detener al grupo. Si los golpes legales mas duros posibles no funcionan, la estrategia defensiva de cualquier empresa no puede basarse en la expectativa de que “tarde o temprano detendran a estos grupos”.
  2. El modelo de marca sobrevive a los individuos. ShinyHunters no es un grupo cerrado de personas concretas: es una marca de cibercrimen reconocible que atrae nuevos operadores cuando los anteriores son detenidos o se retiran. Esto la convierte en una amenaza estructural, no en un incidente aislado que se resuelve con una detencion.
  3. El vector de ataque ha cambiado de tecnico a organizativo. El giro hacia el abuso de integraciones SaaS, tokens OAuth e ingenieria social de help-desk significa que las defensas perimetrales tradicionales (firewalls, antivirus, parches) son cada vez menos relevantes. El punto de entrada habitual ahora es una integracion de terceros mal configurada o un agente de soporte enganado para restablecer credenciales.
  4. La infraestructura de extorsion se profesionaliza al mismo ritmo que las empresas atacadas. Servidores espejo, distribucion por torrent y sistemas anti-abuso con Proof of Work son medidas de ingenieria de producto, no de hacking. ShinyHunters opera su sitio de filtraciones con la misma logica operativa que una empresa de distribucion de contenido legitima.

El patron de ataque de ShinyHunters: de la integracion SaaS a la extorsion publica

Aunque cada campana varía en el vector tecnico inicial, el patron operativo de ShinyHunters documentado por Cato Networks y por la cobertura de sus campanas recientes sigue una estructura consistente:

  1. Acceso inicial via integraciones de confianza. En lugar de atacar directamente los sistemas de la victima, el grupo explota aplicaciones SaaS conectadas (como instancias de Salesforce mal configuradas), tokens OAuth de aplicaciones de terceros, o utiliza ingenieria social contra el personal de soporte tecnico para obtener restablecimientos de credenciales fraudulentos.
  2. Exfiltracion de datos a gran escala. Una vez dentro, el grupo extrae el mayor volumen posible de datos antes de ser detectado, priorizando informacion personal, registros financieros y datos sensibles con alto valor de extorsion.
  3. Listado en el sitio de filtraciones con plazo. La victima es anadida al Data Leak Site del grupo con un plazo de pago concreto (en el caso de Amazon One Medical, el 22 de junio), acompanado de una amenaza explícita de publicacion y “problemas digitales molestos” adicionales si no hay contacto.
  4. Publicacion y distribucion masiva si no hay pago. Si la victima no negocia, los datos se publican en el sitio de filtraciones, ahora con la infraestructura ampliada de espejos y torrents que garantiza una distribucion mas resistente a derribos posteriores.

Lecciones clave para empresas espanolas: protegerse de un grupo que no se puede detener legalmente

Dado que la respuesta legal no es suficiente, la defensa practica debe centrarse en cerrar los vectores que ShinyHunters explota sistematicamente:

  • Auditar todas las integraciones SaaS conectadas a sistemas criticos. Revisar periodicamente que aplicaciones de terceros tienen acceso via OAuth a Salesforce, Microsoft 365, Google Workspace u otras plataformas SaaS corporativas, y eliminar las integraciones que ya no se utilizan o que tienen permisos excesivos.
  • Reforzar los protocolos de verificacion en el help-desk. La ingenieria social contra el personal de soporte tecnico para restablecer contrasenas o tokens MFA es uno de los vectores de entrada mas usados por ShinyHunters y grupos afiliados. Implementar verificacion multicapa antes de cualquier restablecimiento de credenciales sensibles.
  • Monitorizar instancias de Salesforce y plataformas SaaS por configuraciones erroneas. Mas de 1.5 millones de registros comprometidos en la campana de Salesforce de ShinyHunters tuvieron su origen en instancias mal configuradas. Una auditoria de permisos y configuracion de seguridad en plataformas SaaS deberia ser una practica recurrente, no puntual.
  • Preparar un protocolo de respuesta a extorsion con plazo. Las empresas deben tener un plan predefinido para cuando reciben una notificacion de extorsion con plazo limite, incluyendo a quien notificar (AEPD, fuerzas de seguridad, asesoria legal) y como evaluar el alcance real de los datos comprometidos sin negociar directamente con el grupo.
  • Asumir que los datos filtrados son permanentes. Con servidores espejo y distribucion por torrent, la opcion de que una filtracion “desaparezca” con el tiempo ya no es realista. La planificacion de respuesta a incidentes debe asumir que cualquier dato exfiltrado estara disponible publicamente de forma indefinida.

La ciberseguridad como prioridad estrategica

ShinyHunters es el ejemplo mas claro de una tendencia que el sector lleva documentando todo 2026: los grupos de extorsion mas peligrosos ya no son los que tienen las herramientas tecnicas mas sofisticadas, sino los que han construido un modelo operativo resiliente a la presion legal y capaz de reinventarse mas rapido de lo que las fuerzas del orden pueden responder. Para las empresas espanolas, la leccion no es esperar a que detengan al grupo. Es asumir que las integraciones SaaS, los tokens OAuth y los procesos de help-desk son la nueva superficie de ataque prioritaria, y actuar en consecuencia antes de aparecer en el siguiente plazo de extorsion.

Apolo Cybersecurity: proteccion frente a extorsion de datos y auditoria de integraciones SaaS

En Apolo Cybersecurity ayudamos a organizaciones a reducir su exposicion frente a grupos de extorsion como ShinyHunters: auditoria de integraciones SaaS y tokens OAuth conectados a sistemas criticos, refuerzo de protocolos de verificacion en equipos de soporte tecnico, revision de configuracion de seguridad en plataformas como Salesforce, diseno de protocolos de respuesta ante notificaciones de extorsion con plazo, y evaluacion de la exposicion de datos sensibles en integraciones de terceros.

Si tu organizacion usa integraciones SaaS conectadas a sistemas con datos sensibles y no has auditado los permisos OAuth en el ultimo trimestre, el patron de ShinyHunters es la senal para hacerlo ahora.

__wf_reserved_inherit
Prev Post
Next Post

¿Tienes dudas? ¡Estamos encantados de ayudarte!

¡CONTÁCTANOS HOY!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalidad: Responder a tu mensaje y almacenaje en base de datos para gestionar tu solicitud.
Legitimación: Consentimiento del interesado al enviar el formulario.
Destinatarios: No se cederán datos a terceros, salvo obligación legal.
Derechos: Puedes ejercer tus derechos de acceso, rectificación y supresión, entre otros, enviando un correo a secretaria@apolocybersecurity.Com.
Información adicional: Puedes consultar la información completa en nuestra Política de Privacidad.

¡Gracias !

Su mensaje a sido recibido correctamente.
Oops! Algo a ido mal a la jora de enviar el formulario.
te esperamos!
agenda una llamada
Project photo
Envíanos un mail
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
FAQScontactoTÉRMINOS Y CONDICIONESTrabaja con Nosotros
Acelerados por:
Certificaciones:
Light Eyes forma parte de Apolo Cybersecurity
Aviso legalpolítica de privacidadCookiespolítica seguridad de la información
Privacy Settings
Copyright © 2025 Apolo Cybersecurity