Ataque a Charter Communications: el ‘modus operandi’ de ShinyHunters
Le confirmo la envergadura para que no haya lugar a dudas: el servicio de notificación de brechas de seguridad Have I Been Pwned ha verificado esta semana que la banda de extorsión ShinyHunters ha filtrado información personal de 4,9 millones de titulares de cuentas de la teleco estadounidense Charter Communications. Las víctimas son clientes de Spectrum, la marca comercial del operador, que da servicio a más de 32 millones de hogares en todo Estados Unidos. Como suele ocurrir en este tipo de operaciones de forrajeo masivo, la compañía minimiza la gravedad de lo sustraído mientras la banda publica los datos en su sitio de filtraciones de la dark web como represalia por la negativa a pagar el rescate. Charter asegura que no hubo información personal sensible ni datos de red propietaria del cliente (lo que en jerga de telecomunicaciones se conoce como CPNI) comprometidos. ShinyHunters, por su parte, se ríe de esa versión y asegura haber extraído 42 millones de registros.
El baile de cifras —4,9 millones frente a los 42 millones que alegan los delincuentes— es discreto en el sector: una técnica habitual de ShinyHunters consiste en inflar el botín para presionar a la víctima. Usted verá que la realidad la pone en orden Have I Been Pwned, que coteja las direcciones de correo únicas incluidas en el paquete filtrado. Treinta y dos millones de clientes potencialmente afectados, pero «solo» 4,9 millones de correos distintos. Y no es exactamente un botín limpio: nombres, teléfonos, empleos, direcciones postales y, en un subconjunto de unos 85 000 registros procedentes de un directorio interno de empleados, también los puestos de trabajo.
Un ‘vishing’ de manual y el botín en Salesforce
La cadena de ataque merece atención. Los atacantes declaran que comprometieron la cuenta Microsoft Entra de un trabajador mediante un ataque de ‘vishing’ —voice phishing, suplantación telefónica— el pasado 1 de abril. Desde esa cuenta corporativa pivotaron sin demasiado ruido hasta la instancia de Salesforce de Charter Communications, donde, según su propio relato, extrajeron los 42 millones de registros ya mencionados.
Me detengo aquí. El hecho de que la puerta de entrada fuera una llamada y no, por ejemplo, un zero‑day carísimo nos dice dos cosas. Primera: la formación antiphishing del empleado falló. Segunda: la segmentación entre la red corporativa de Microsoft y la plataforma de gestión de clientes era laxa en ese punto del perímetro. Charter no ha confirmado detalles técnicos adicionales, limitándose a remitir a su comunicado original cada vez que se le pregunta si los atacantes también exfiltraron datos CPNI. Llevo años escribiéndolo en este vertical: el silencio operacional de una víctima a menudo esconde más de lo que revela. Permítame una confidencia profesional: si ShinyHunters realmente hubiera obtenido solo datos banales, Charter habría corrido a detallarlo para desactivar la extorsión.
El historial de ShinyHunters apuntala la hipótesis. Durante el último año, la banda ha ejecutado una campaña sistemática contra clientes corporativos de Salesforce, robando miles de millones de registros mediante ataques Aura y la campaña Salesloft Drift que documentaron firmas de inteligencia de amenazas. No son unos aficionados. Saben lo que buscan y dónde encontrarlo.
El silencio operacional de una víctima a menudo esconde más de lo que revela.
A eso se suma la postura del FBI, que recientemente ha instado a las víctimas de ShinyHunters a no ceder al chantaje económico. El argumento del Bureau es tan utilitario como descorazonador: pagar no garantiza que los datos no se revendan a otros cibercriminales o que no se vuelva a extorsionar a la compañía por segunda vez. Charter aplicó el manual al pie de la letra y los registros personales de los abonados acabaron publicados de todas formas.
Dossier Moncloa: Ojos en la Sombra
La operación contra Charter Communications ha de leerse en la mesa de situación de cualquier servicio de inteligencia occidental con intereses en la protección de infraestructuras críticas. El vector es diáfanamente un ciberataque mixto de ingeniería social y exfiltración de datos desde plataformas CRM. En términos de inteligencia, la diferencia entre un delincuente que vacía una base de datos de clientes y un actor estatal que mapea toda la red de telecomunicaciones de un país es solo de intencionalidad; la técnica de intrusión puede ser idéntica. Recuerdo haber escrito en El quinto elemento que «el próximo 11S empezará con un clic», y este ataque de ShinyHunters lo subraya con crudeza: bastó una llamada con ingeniería social para abrir la puerta a millones de registros.
En el triángulo de agencias que nos ocupa, el atacante es un grupo criminal organizado —ShinyHunters— cuyo modus operandi combina la extorsión directa con la publicación de datos robados. La empresa defensora es Charter Communications, un coloso estadounidense de las telecomunicaciones que previamente ya había sufrido una intrusión de un APT chino rastreado como Salt Typhoon, el cual también afectó a AT&T, Verizon y otras operadoras. Quien mira, y mira con creciente preocupación, es el ecosistema de agencias federales estadounidenses (FBI y CISA a la cabeza) y, por extensión, nuestros propios centros de alerta. El Centro Criptológico Nacional —el CCN‑CERT— monitoriza campañas de este tipo porque lo que hoy golpea a una teleco en Estados Unidos mañana puede replicarse contra Telefónica, Orange o Vodafone en nuestro país. La doctrina de ShinyHunters de perseguir instancias de Salesforce no es caprichosa: Salesforce aloja los tesoros de información comercial y personal de miles de multinacionales, y muchas de ellas operan en España.
Estimo que los datos comprometidos oscilan entre el nivel de clasificación “Confidencial” o “Uso Restringido” a efectos internos de la compañía. No incluyen secretos de Estado, pero sí el tipo de información que permite campañas de suplantación masiva y de inteligencia sobre patrones de consumo y movilidad. El precedente histórico que me viene a la memoria es el ataque de 2021 contra T‑Mobile, donde otro grupo criminal accedió a los datos de más de 50 millones de clientes. ¿La diferencia ahora? ShinyHunters ha industrializado la extorsión al punto de que el FBI ha tenido que emitir avisos expresos. ¿El riesgo para nosotros? Que la misma banda —o un imitador— apunte a los grandes concentradores de datos de clientes que operan en la península. Esta semana, por cierto, sin ir más lejos, el INCIBE ha elevado el nivel de alerta para el sector de las telecomunicaciones. No es casualidad.
