La nueva táctica que el FBI acaba de alertar y que ya está destruyendo empresas que creían estar protegidas
Hay una escena que ningún empresario imagina cuando piensa en un ciberataque: alguien toca la puerta de tu oficina, se presenta como técnico de soporte de TI y tus propios colaboradores lo dejan pasar.
Sin hackeos espectaculares. Sin pantallas con calaveras. Sin alarmas.
Solo un USB conectado en silencio a una computadora de tu empresa y, en cuestión de minutos, toda la información confidencial de tu negocio ya está en manos equivocadas.
Esto no es ciencia ficción.
Esto ya está ocurriendo.
Y el FBI acaba de confirmarlo.
La alerta que sacudió al sector esta semana
El pasado 26 de mayo de 2026, la Oficina Federal de Investigaciones (FBI) emitió un FLASH Alert —su nivel más alto de urgencia— advirtiendo sobre las operaciones en escalada del Silent Ransom Group (SRG), también conocido como Luna Moth, Chatty Spider o UNC3753.
Este grupo, activo desde 2022 y con vínculos rastreados a Rusia, ha perfeccionado durante tres años un modelo de ataque que rompe con todo lo que normalmente se enseña en los cursos de ciberseguridad.
Lo que hace diferente a SRG no es su sofisticación técnica.
Es precisamente lo contrario.
Su arma principal no es el código.
Es la confianza humana.
Cómo opera el ataque: una anatomía que todo empresario debe conocer
Entender cómo trabaja este grupo no es un ejercicio académico.
Es la diferencia entre detenerlos o terminar pagándoles.
Fase 1 — El primer contacto: phishing o llamada directa
Todo comienza de forma aparentemente inocente.
Uno de tus colaboradores recibe un correo que le notifica sobre un cargo inminente relacionado con una suscripción de software que tu empresa utiliza o, en algunos casos, una llamada directa de alguien que asegura formar parte del área de TI.
El mensaje es urgente:
“Hay un problema de seguridad. Hay que actuar ahora.”
Esto se conoce como callback phishing y vishing (voice phishing), técnicas identificadas por el FBI en su alerta.
La urgencia es deliberada.
Su objetivo es bloquear el pensamiento crítico y activar el modo reactivo de la persona.
Fase 2 — La puerta abierta: herramientas legítimas de acceso remoto
Una vez que tu colaborador está hablando con el atacante, este lo guía para instalar herramientas completamente legítimas como AnyDesk o TeamViewer.
Y aquí está la trampa.
El antivirus no detecta nada.
No hay malware.
No hay código malicioso.
Solo un supuesto técnico “ayudando” de forma remota.
A través de esa sesión, el atacante accede al sistema, identifica los archivos de mayor valor —contratos, datos de clientes, información financiera, expedientes— y los extrae silenciosamente utilizando herramientas como WinSCP o versiones ocultas de Rclone.
En algunos casos, los datos son enviados directamente a plataformas como Google Drive o Microsoft OneDrive, servicios que normalmente tampoco generan alertas.
Fase 3 — El escalamiento físico: cuando lo digital no alcanza
Y aquí es donde el modelo de SRG se vuelve verdaderamente preocupante.
Si el acceso remoto falla, envían a una persona físicamente a la oficina.
Un individuo vestido de manera profesional llega, afirma ser técnico de soporte de TI y, con la colaboración involuntaria de tus propios colaboradores, conecta una memoria USB o un disco externo directamente en una computadora corporativa para extraer información en cuestión de segundos.
El FBI documenta que los empleados suelen facilitar el acceso porque el atacante conoce nombres internos, procedimientos y suficiente terminología técnica para parecer completamente legítimo.
Fase 4 — La extorsión silenciosa: sin cifrado, sin advertencia
SRG no cifra archivos.
No bloquea sistemas.
No muestra pantallas de rescate.
Mientras tu empresa continúa operando con aparente normalidad, días o semanas después llega un correo:
“Tenemos tus datos. Paga o los publicamos.”
Y cumplen.
Mantienen un sitio de filtraciones activo donde exponen públicamente la información robada.
A la fecha de la alerta del FBI, más de 38 organizaciones ya tenían información expuesta públicamente por no haber pagado.
La cifra real de víctimas supera ampliamente ese número.
El contexto que hace esto urgente para México
Si esto ocurre con empresas estadounidenses que cuentan con mayores recursos, abogados especializados y equipos de TI robustos, la pregunta es inevitable:
¿Qué tan preparada está tu empresa?
Los datos son contundentes:
El 74% de las empresas mexicanas sufrió algún tipo de ataque de ransomware o extorsión digital durante 2025.
México registró más de 237,000 intentos de ransomware entre agosto de 2024 y julio de 2025, posicionándose como el segundo país más atacado de América Latina.
El costo promedio de rescate solicitado a empresas mexicanas ronda los USD $387,000, mientras que los costos totales de recuperación pueden superar el millón de dólares.
Tres de cada cinco PyMEs mexicanas podrían desaparecer en los próximos años si no fortalecen su postura de seguridad.
Más del 60% de las PyMEs reportó incidentes de seguridad durante el último año y la mayoría operó sin una estrategia formal de respuesta.
No son solo estadísticas.
Cada cifra representa una empresa que perdió información, interrumpió operaciones, pagó en silencio para proteger su reputación o simplemente no logró recuperarse.
Por qué las empresas medianas son el blanco perfecto
Los criminales han entendido algo que muchos directivos aún subestiman:
Las empresas medianas concentran información valiosa con niveles de protección relativamente bajos.
Un despacho contable posee información fiscal de múltiples clientes.
Una empresa logística administra contratos críticos.
Una clínica privada resguarda expedientes sensibles.
Una empresa manufacturera maneja información estratégica de su cadena de suministro.
Todo eso tiene valor.
Y muchas organizaciones siguen operando:
Sin un área especializada de TI.
Sin protocolos de verificación de identidad.
Sin políticas claras para accesos remotos.
Sin una cultura sólida de seguridad.
SRG lo sabe.
Y lo aprovecha.
La puerta de entrada no suele ser una vulnerabilidad tecnológica.
Es la buena voluntad de un colaborador que recibió una llamada de alguien que sonaba exactamente como un técnico de soporte.
Lo que sí puedes hacer: medidas concretas para proteger tu empresa
1. Establece un protocolo de verificación de identidad
Ningún colaborador debería instalar software remoto, otorgar acceso a su equipo o recibir a un supuesto técnico sin verificar previamente la solicitud mediante un canal oficial.
Un proceso sencillo puede detener el ataque desde el primer momento.
El técnico de soporte que llegó a tu oficina… y que nunca enviaste a llamar
La nueva táctica que el FBI acaba de alertar y que ya está destruyendo empresas que creían estar protegidas
Hay una escena que ningún empresario imagina cuando piensa en un ciberataque: alguien toca la puerta de tu oficina, se presenta como técnico de soporte de TI y tus propios colaboradores lo dejan pasar.
Sin hackeos espectaculares. Sin pantallas con calaveras. Sin alarmas.
Solo un USB conectado en silencio a una computadora de tu empresa y, en cuestión de minutos, toda la información confidencial de tu negocio ya está en manos equivocadas.
Esto no es ciencia ficción.
Esto ya está ocurriendo.
Y el FBI acaba de confirmarlo.
La alerta que sacudió al sector esta semana
El pasado 26 de mayo de 2026, la Oficina Federal de Investigaciones (FBI) emitió un FLASH Alert —su nivel más alto de urgencia— advirtiendo sobre las operaciones en escalada del Silent Ransom Group (SRG), también conocido como Luna Moth, Chatty Spider o UNC3753.
Este grupo, activo desde 2022 y con vínculos rastreados a Rusia, ha perfeccionado durante tres años un modelo de ataque que rompe con todo lo que normalmente se enseña en los cursos de ciberseguridad.
Lo que hace diferente a SRG no es su sofisticación técnica.
Es precisamente lo contrario.
Su arma principal no es el código.
Es la confianza humana.
Cómo opera el ataque: una anatomía que todo empresario debe conocer
Entender cómo trabaja este grupo no es un ejercicio académico.
Es la diferencia entre detenerlos o terminar pagándoles.
Fase 1 — El primer contacto: phishing o llamada directa
Todo comienza de forma aparentemente inocente.
Uno de tus colaboradores recibe un correo que le notifica sobre un cargo inminente relacionado con una suscripción de software que tu empresa utiliza o, en algunos casos, una llamada directa de alguien que asegura formar parte del área de TI.
El mensaje es urgente:
“Hay un problema de seguridad. Hay que actuar ahora.”
Esto se conoce como callback phishing y vishing (voice phishing), técnicas identificadas por el FBI en su alerta.
La urgencia es deliberada.
Su objetivo es bloquear el pensamiento crítico y activar el modo reactivo de la persona.
Fase 2 — La puerta abierta: herramientas legítimas de acceso remoto
Una vez que tu colaborador está hablando con el atacante, este lo guía para instalar herramientas completamente legítimas como AnyDesk o TeamViewer.
Y aquí está la trampa.
El antivirus no detecta nada.
No hay malware.
No hay código malicioso.
Solo un supuesto técnico “ayudando” de forma remota.
A través de esa sesión, el atacante accede al sistema, identifica los archivos de mayor valor —contratos, datos de clientes, información financiera, expedientes— y los extrae silenciosamente utilizando herramientas como WinSCP o versiones ocultas de Rclone.
En algunos casos, los datos son enviados directamente a plataformas como Google Drive o Microsoft OneDrive, servicios que normalmente tampoco generan alertas.
Fase 3 — El escalamiento físico: cuando lo digital no alcanza
Y aquí es donde el modelo de SRG se vuelve verdaderamente preocupante.
Si el acceso remoto falla, envían a una persona físicamente a la oficina.
Un individuo vestido de manera profesional llega, afirma ser técnico de soporte de TI y, con la colaboración involuntaria de tus propios colaboradores, conecta una memoria USB o un disco externo directamente en una computadora corporativa para extraer información en cuestión de segundos.
El FBI documenta que los empleados suelen facilitar el acceso porque el atacante conoce nombres internos, procedimientos y suficiente terminología técnica para parecer completamente legítimo.
Fase 4 — La extorsión silenciosa: sin cifrado, sin advertencia
SRG no cifra archivos.
No bloquea sistemas.
No muestra pantallas de rescate.
Mientras tu empresa continúa operando con aparente normalidad, días o semanas después llega un correo:
“Tenemos tus datos. Paga o los publicamos.”
Y cumplen.
Mantienen un sitio de filtraciones activo donde exponen públicamente la información robada.
A la fecha de la alerta del FBI, más de 38 organizaciones ya tenían información expuesta públicamente por no haber pagado.
La cifra real de víctimas supera ampliamente ese número.
El contexto que hace esto urgente para México
Si esto ocurre con empresas estadounidenses que cuentan con mayores recursos, abogados especializados y equipos de TI robustos, la pregunta es inevitable:
¿Qué tan preparada está tu empresa?
Los datos son contundentes:
El 74% de las empresas mexicanas sufrió algún tipo de ataque de ransomware o extorsión digital durante 2025.
México registró más de 237,000 intentos de ransomware entre agosto de 2024 y julio de 2025, posicionándose como el segundo país más atacado de América Latina.
El costo promedio de rescate solicitado a empresas mexicanas ronda los USD $387,000, mientras que los costos totales de recuperación pueden superar el millón de dólares.
Tres de cada cinco PyMEs mexicanas podrían desaparecer en los próximos años si no fortalecen su postura de seguridad.
Más del 60% de las PyMEs reportó incidentes de seguridad durante el último año y la mayoría operó sin una estrategia formal de respuesta.
No son solo estadísticas.
Cada cifra representa una empresa que perdió información, interrumpió operaciones, pagó en silencio para proteger su reputación o simplemente no logró recuperarse.
Por qué las empresas medianas son el blanco perfecto
Los criminales han entendido algo que muchos directivos aún subestiman:
Las empresas medianas concentran información valiosa con niveles de protección relativamente bajos.
Un despacho contable posee información fiscal de múltiples clientes.
Una empresa logística administra contratos críticos.
Una clínica privada resguarda expedientes sensibles.
Una empresa manufacturera maneja información estratégica de su cadena de suministro.
Todo eso tiene valor.
Y muchas organizaciones siguen operando:
SRG lo sabe.
Y lo aprovecha.
La puerta de entrada no suele ser una vulnerabilidad tecnológica.
Es la buena voluntad de un colaborador que recibió una llamada de alguien que sonaba exactamente como un técnico de soporte.
Lo que sí puedes hacer: medidas concretas para proteger tu empresa
1. Establece un protocolo de verificación de identidad
Ningún colaborador debería instalar software remoto, otorgar acceso a su equipo o recibir a un supuesto técnico sin verificar previamente la solicitud mediante un canal oficial.
Un proceso sencillo puede detener el ataque desde el primer momento.
2. Define claramente quién autoriza accesos remotos
No basta con asumir que el equipo sabrá qué hacer.
Debe existir una política formal que indique quién puede aprobar accesos, bajo qué circunstancias y cómo debe verificarse cada solicitud.
3. Capacita a tus colaboradores en ingeniería social
La ingeniería social explota comportamientos humanos predecibles:
Por eso la capacitación debe centrarse en situaciones reales y no únicamente en conceptos técnicos.
4. Controla físicamente quién entra a tus instalaciones
La intrusión física es una amenaza real.
Nadie debería acceder a zonas con equipos de cómputo sin identificación validada y autorización expresa.
Esto incluye proveedores, técnicos externos y personal subcontratado.
5. Implementa monitoreo de comportamiento
Los antivirus tradicionales no detectan este tipo de ataques porque los delincuentes utilizan herramientas legítimas.
Por eso es fundamental monitorear comportamientos anómalos, especialmente movimientos masivos de información.
6. Ten un plan de respuesta antes de necesitarlo
La pregunta no es si tu empresa será objetivo de un ataque.
La pregunta es si sabrás qué hacer durante la primera hora.
¿Quién toma decisiones?
¿A quién llamas?
¿Tus respaldos están verificados?
¿Has practicado un escenario de crisis?
Ese plan puede valer más que cualquier herramienta tecnológica.
La gran lección para las empresas mexicanas
La enseñanza más importante del caso Silent Ransom Group no es tecnológica.
Es estratégica.
La ciberseguridad dejó de ser exclusivamente un asunto del departamento de TI.
Ahora es un tema de liderazgo, cultura organizacional y continuidad del negocio.
Un atacante que utiliza a tus propios colaboradores como puerta de entrada no puede detenerse únicamente con tecnología.
Se detiene con conciencia, procesos y preparación.
Las empresas que sobreviven a estos ataques no siempre son las que tienen el firewall más avanzado.
Son las que convierten a sus colaboradores en la primera línea de defensa.
Lo que hoy el FBI advierte en Estados Unidos es algo que los grupos criminales ya están replicando en otros países, incluido México.
Y mientras menos conciencia exista sobre el riesgo, más atractivo se vuelve el objetivo para los atacantes.
Reflexión final
Las empresas que esperan a sufrir un ataque para tomar en serio la ciberseguridad normalmente descubren el problema cuando ya es demasiado tarde.
Revisar, documentar y fortalecer tus procesos siempre será más económico que enfrentar las consecuencias de una brecha de seguridad.
Si hoy no tienes certeza de qué tan preparada está tu empresa frente a amenazas como esta, quizá sea momento de hacer una pregunta simple:
¿Qué pasaría si mañana un supuesto técnico de soporte tocara la puerta de tu oficina?
La respuesta podría revelar más vulnerabilidades de las que imaginas.
Síguenos en todas nuestras redes:
Facebook: https://www.facebook.com/CareTelecom
Twitter: https://twitter.com/caretelecom?
Linkedin: https://www.linkedin.com/company/care-telecom/
Correo: info@caretelecom.com
Instagram: https://instagram.com/caretelecom?
Spotify PODCAST: Escudo Digital: https://spoti.fi/3FSvKoA
Categorías Populares
Instagram Feeds
[instagram-feed]
Popular Tags
Archivos
Nuestros Servicios