Una prolífica banda de ransomware de datos que se autodenomina **Scattered Lapsus ShinyHunters** (SLSH) tiene un método distintivo cuando busca extorsionar a empresas víctimas: acosar, amenazar e incluso realizar "swatting" a ejecutivos y sus familias, todo mientras notifica a periodistas y reguladores sobre el alcance de la intrusión. Algunas víctimas, según se informa, están pagando, quizás tanto para contener los datos robados como para detener los crecientes ataques personales. Pero un experto principal en SLSH advierte que cualquier interacción, más allá de una respuesta de "No pagaremos", solo fomenta un mayor acoso, señalando que el historial volátil y poco fiable del grupo significa que la única jugada ganadora es no pagar.  A diferencia de los grupos afiliados de ransomware rusos, altamente regimentados, SLSH es una banda de extorsión de habla inglesa, rebelde y algo fluida, que parece desinteresada en construir una reputación de comportamiento consistente, mediante la cual las víctimas podrían tener alguna medida de confianza en que los criminales cumplirán su palabra si se les paga. Esto es según **Allison Nixon**, directora de investigación en la consultora de seguridad **Unit 221B**, con sede en Nueva York. Nixon ha estado rastreando de cerca al grupo criminal y a miembros individuales mientras se mueven entre varios canales de Telegram utilizados para extorsionar y acosar a las víctimas, y dijo que SLSH difiere de los grupos de ransomware de datos tradicionales en otros aspectos importantes que argumentan en contra de confiar en que hagan algo de lo que dicen que harán, como destruir datos robados. # Tácticas Escaladas: Más allá de las Fugas de Datos Al igual que SLSH, muchos grupos de ransomware rusos tradicionales han empleado tácticas de alta presión para forzar el pago a cambio de una clave de descifrado y/o una promesa de eliminar los datos robados, como publicar un blog de "avergonzamiento" en la dark web con muestras de datos robados junto a un reloj de cuenta regresiva, o notificar a periodistas y miembros de la junta de la empresa víctima. Pero Nixon dijo que la extorsión de SLSH escala rápidamente mucho más allá de eso: a amenazas de violencia física contra ejecutivos y sus familias, ataques DDoS al sitio web de la víctima y campañas repetidas de inundación de correo electrónico. # Phishing para el Acceso Inicial SLSH es conocido por infiltrarse en empresas mediante phishing a empleados por teléfono, y utilizando el acceso obtenido para robar datos internos sensibles. En una publicación de blog del 30 de enero, la firma de análisis forense de seguridad **Mandiant** de **Google** dijo que los ataques de extorsión más recientes de SLSH provienen de incidentes que abarcan desde principios hasta mediados de enero de 2026, cuando miembros de SLSH se hicieron pasar por personal de TI y llamaron a empleados de organizaciones víctimas objetivo, afirmando que la empresa estaba actualizando la configuración de MFA. "El actor de la amenaza dirigió a los empleados a sitios de recolección de credenciales con la marca de la víctima para capturar sus credenciales SSO y códigos MFA, y luego registró su propio dispositivo para MFA", explicó la publicación del blog. # Guerra Psicológica Las víctimas a menudo se enteran de la brecha cuando su nombre de marca se menciona en el nuevo grupo de chat efímero de Telegram que SLSH esté utilizando para amenazar, extorsionar y acosar a su presa. Según Nixon, el acoso coordinado en los canales de Telegram de SLSH es parte de una estrategia bien orquestada para abrumar a la organización víctima, fabricando humillación que los empuja al umbral de pagar. Nixon dijo que múltiples ejecutivos en organizaciones objetivo han sido objeto de ataques de "swatting", en los cuales SLSH comunicó una amenaza de bomba falsa o una situación de rehenes en la dirección del objetivo, con la esperanza de provocar una respuesta policial fuertemente armada en su hogar o lugar de trabajo. "Una gran parte de lo que le hacen a las víctimas es el aspecto psicológico, como acosar a los hijos de los ejecutivos y amenazar a la junta de la empresa", dijo Nixon a KrebsOnSecurity. "Y mientras estas víctimas reciben demandas de extorsión, simultáneamente reciben contactos de medios de comunicación diciendo: 'Oigan, ¿tienen algún comentario sobre las cosas malas que vamos a escribir sobre ustedes?'" # The Com: Un Semillero de Caos En una publicación de blog de hoy, Unit 221B argumenta que nadie debería negociar con SLSH porque el grupo ha demostrado una voluntad de extorsionar a las víctimas basándose en promesas que no tiene intención de cumplir. Nixon señala que todos los miembros conocidos de SLSH provienen de **The Com**, abreviatura de una constelación de comunidades de Discord y Telegram centradas en el cibercrimen, que sirven como una especie de red social distribuida que facilita la colaboración instantánea. Nixon dijo que los grupos de extorsión basados en Com tienden a instigar disputas y dramas entre los miembros del grupo, lo que lleva a mentiras, traiciones, comportamientos que destruyen la credibilidad, puñaladas por la espalda y sabotajes mutuos. "Con este tipo de disfunción continua, a menudo agravada por el abuso de sustancias, estos actores de amenazas a menudo no pueden actuar con el objetivo principal en mente de completar una operación de rescate exitosa y estratégica", escribió Nixon. "Continúan perdiendo el control con arrebatos que ponen en riesgo su estrategia y seguridad operativa, lo que limita severamente su capacidad para construir una red de organizaciones criminales profesional, escalable y sofisticada para continuas extorsiones exitosas, a diferencia de otras organizaciones criminales más experimentadas y profesionales centradas únicamente en el ransomware". Las intrusiones de grupos de ransomware establecidos típicamente se centran en malware de cifrado/descifrado que permanece en su mayoría en la máquina afectada. En contraste, dijo Nixon, el rescate de un grupo de Com a menudo se estructura de la misma manera que los esquemas de sextorsión violentos contra menores, en los cuales los miembros de The Com roban información dañina, amenazan con liberarla y "prometen" eliminarla si la víctima cumple, sin ninguna garantía o prueba técnica de que cumplirán su palabra. Ella escribe: Un componente clave de los esfuerzos de SLSH para convencer a las víctimas de pagar, dijo Nixon, implica manipular a los medios para que exageren la amenaza que representa este grupo. Este enfoque también toma una página del manual de los ataques de sextorsión, dijo, lo que anima a los depredadores a mantener a los objetivos continuamente comprometidos y preocupados por las consecuencias del incumplimiento. "En los días en que SLSH no tenía una 'victoria' criminal sustancial que anunciar, se enfocaron en anunciar amenazas de muerte y acoso para mantener a las fuerzas del orden, a los periodistas y a los profesionales de la industria del cibercrimen enfocados en este grupo", dijo.  # Dirigido a Investigadores Nixon sabe un par de cosas sobre ser amenazada por SLSH: durante los últimos meses, los canales de Telegram del grupo han estado repletos de amenazas de violencia física contra ella, contra Yours Truly y contra otros investigadores de seguridad. Estas amenazas, dijo, son solo otra forma en que el grupo busca generar atención mediática y lograr una apariencia de credibilidad, pero son útiles como indicadores de compromiso porque los miembros de SLSH tienden a mencionar y difamar a los investigadores de seguridad incluso en sus comunicaciones con las víctimas. "Esté atento a los siguientes comportamientos en sus comunicaciones con usted o en sus declaraciones públicas", dice el aviso de Unit 221B. "Menciones abusivas repetidas de Allison Nixon (o 'A.N.'), Unit 221B, o periodistas de ciberseguridad, especialmente Brian Krebs, o cualquier otro empleado de ciberseguridad, o empresa de ciberseguridad. Cualquier amenaza de muerte, terrorismo o violencia contra empleados internos, empleados de ciberseguridad, investigadores y periodistas". Unit 221B afirma que, si bien la campaña de presión durante un intento de extorsión puede ser traumatizante para los empleados, ejecutivos y sus familiares, entablar negociaciones prolongadas con SLSH incentiva al grupo a aumentar el nivel de daño y riesgo, lo que podría incluir la seguridad física de los empleados y sus familias. "Los datos filtrados nunca volverán a ser como eran, pero podemos asegurarle que el acoso terminará", dijo Nixon. "Por lo tanto, su decisión de pagar debe ser un tema separado del acoso. Creemos que cuando separe estos problemas, verá objetivamente que el mejor curso de acción para proteger sus intereses, tanto a corto como a largo plazo, es negarse a pagar."