Se ha emitido una alerta crítica de ciberseguridad tras la identificación de un nuevo grupo de cibercrimen con motivación financiera denominado BlackFile (rastreado también como CL-CRI-1116, UNC6671 o Cordial Spider). De acuerdo con la información compartida, desde febrero de 2026 este grupo ha desencadenado una agresiva ola de ataques de robo de datos y extorsión focalizada específicamente en organizaciones de los sectores minorista (retail) y hospitalidad. Los investigadores vinculan a BlackFile con “The Com”, una red difusa de ciberdelincuentes conocida por reclutar jóvenes para la extorsión y tácticas de intimidación extremas, incluyendo el swatting.
Anatomía del Ataque
A diferencia de los grupos tradicionales que explotan vulnerabilidades de software, el modus operandi de BlackFile se basa casi exclusivamente en la manipulación psicológica (Ingeniería Social) y el eludir la autenticación multifactor (MFA):
- Vishing (Phishing Telefónico) y Suplantación: El ataque comienza con llamadas telefónicas directas a los empleados. Utilizando números VoIP falsificados (Spoofed VoIP) o suplantando los nombres de identificación de llamadas (CNAM), los atacantes se hacen pasar por personal del servicio de asistencia técnica (Helpdesk) corporativo.
- Robo de Credenciales y Evasión de MFA: Bajo falsos pretextos de soporte de TI, redirigen a los empleados a páginas de inicio de sesión corporativas falsificadas. Allí, no solo roban el usuario y la contraseña, sino que extraen los códigos de acceso de un solo uso (OTP/MFA) en tiempo real.
- Inscripción de Dispositivos Propios: Con las credenciales y el código MFA interceptado, los atacantes registran sus propios dispositivos en el entorno corporativo de la víctima, garantizándose acceso persistente sin necesidad de solicitar códigos futuros al empleado comprometido.
- Escalada y Extracción vía API: Una vez dentro, el grupo busca escalar privilegios rastreando el directorio de empleados para apuntar a cuentas de nivel ejecutivo. Posteriormente, utilizan funciones estándar de las API de Salesforce y SharePoint para descargar masivamente datos, buscando específicamente términos como “confidencial” y Números de Seguro Social (SSN).
- Extorsión y ‘Swatting’: Los datos exfiltrados se publican en el sitio de filtraciones de la Dark Web del grupo. Si las demandas de rescate (que alcanzan las siete cifras) no son cumplidas, el grupo escala la presión táctica contactando a las víctimas desde cuentas de correo corporativas comprometidas, e incluso realizando swatting (llamadas de emergencia policiales falsas dirigidas a los domicilios de los ejecutivos).
Impacto
- Exposición Masiva de Datos Sensibles: La técnica de usar descargas legítimas de SharePoint y Salesforce bajo sesiones validadas (SSO) permite al grupo evadir alertas simples, logrando la extracción exitosa de grandes conjuntos de datos CSV con PII de empleados y reportes de negocio confidenciales.
- Riesgo Físico y Psicológico: La utilización de swatting contra ejecutivos cruza la línea del daño digital al físico, generando un entorno de coerción extrema y estrés psicológico severo para forzar el pago del rescate.
Recomendaciones y Mitigación
Para contrarrestar las tácticas de BlackFile, las organizaciones deben modificar urgentemente sus protocolos de autenticación humana:
- MFA Resistente al Phishing: Reemplazar de inmediato la autenticación multifactor basada en SMS o códigos de un solo uso (OTP) por métodos resistentes al phishing, como llaves de seguridad de hardware físicas (estándar FIDO2/WebAuthn).
- Verificación de Identidad Inversa: Implementar políticas estrictas donde los empleados nunca deban proporcionar códigos de seguridad, contraseñas o aprobar notificaciones push basándose únicamente en llamadas entrantes. Todo requerimiento del Helpdesk debe validarse iniciando una comunicación independiente desde los canales oficiales del empleado hacia TI.
- Monitorización de Nuevos Dispositivos: Configurar el SIEM/SOC para alertar inmediatamente y requerir una aprobación administrativa secundaria siempre que se registre un nuevo dispositivo de autenticación (Token/App Authenticator) asociado a cuentas con privilegios elevados o acceso a Salesforce/SharePoint.
- Entrenamiento Específico de Vishing: Actualizar los programas de concienciación de seguridad para todo el personal de primera línea, simulando llamadas telefónicas de suplantación para entrenar la capacidad de identificar pretextos comunes de urgencia informática.
