Vectra AI es nombrado líder en el Cuadrante Mágico de Gartner 2025 para Detección y Respuesta de Red (NDR). >
NUEVO

Vectra AI es nombrada Líder en el Cuadrante Mágico de Gartner 2025 para Detección y Respuesta de Redes (NDR). Descargar informe. >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icono de hamburguesa línea superior
Icono de hamburguesa línea media
Icono de hamburguesa línea inferior
  1. cybercriminels
    >
  2. Grupo de ransomware

ShinyHunters

ShinyHunters es un conocido grupo centrado en el robo de datos y las brechas que saltó a la fama en 2020 por filtrar y vender millones de registros de usuarios de empresas de todo el mundo.

Detectar TTPs de ShinyHunters
¿Está su organización a salvo de los ataques de ransomware de ShinyHunters?
Antecedentes y objetivos
TTPs
Cartografía MITRE
Detección
Preguntas frecuentes
Ver sesión informativa sobre amenazas
ANTECEDENTES
PAÍSES
INDUSTRIAS
VÍCTIMAS

El origen de ShinyHunters

A diferencia de los grupos de ransomware, ShinyHunters no cifra los sistemas. En su lugar, sus operaciones se centran en violar redes, robar datos y monetizarlos a través de foros clandestinos o canales de Telegram. Se les ha relacionado con filtraciones de alto nivel de los repositorios GitHub de Microsoft, Tokopedia, Bonobos y docenas de organizaciones más pequeñas.

El grupo es conocido por su gran volumen de filtraciones, con bases de datos que contienen decenas de millones de registros que aparecen regularmente en mercados clandestinos. El estilo operativo de ShinyHunters combina la extorsión financiera, el daño a la marca y la creación de reputación, lo queles convierte en una amenaza persistente para empresas de múltiples sectores.

En agosto de 2025, ShinyHunters estableció una asociación operativa con LAPSUS$ y Scattered Spiderformando el colectivo extorsionista Scattered LAPSUS$ Hunters. En esta alianza, ShinyHunters proporciona una canalización de bases de datos robadas masivas e infraestructura de brechas, complementando el modelo de extorsión basado en el espectáculo público de LAPSUS$ y las sofisticadas habilidades de ingeniería social e intrusión en SaaS de Scattered SpiderSpider. Esta colaboración amplía la influencia de ShinyHunters más allá de los mercados clandestinos y la sitúa en el centro de atención de los medios de comunicación, lo que les permite amplificar la presión de los rescates y el daño a la reputación, al tiempo que aceleran la monetización.

Países objetivo de ShinyHunters

Global, con víctimas en todo el mundo:

  • Estados Unidos
  • India y Sudeste Asiático
  • Europa (Francia, Alemania, Reino Unido)
  • América Latina

Industrias objetivo de ShinyHunters

Las infracciones de ShinyHunters abarcan un amplio espectro, normalmente centrado en industrias ricas en datos:

  • Venta al por menor y comercio electrónico (Tokopedia, Wattpad, Bonobos)
  • Tecnología y SaaS (repositorios GitHub de Microsoft)
  • Servicios financieros (varias bases de datos sobre tecnología financiera y banca)
  • Alimentación y bebidas (plataformas de entrega a domicilio, aplicaciones para restaurantes)
  • Plataformas sanitarias y de consumidores con conjuntos de datos ricos en IPI

Retail and Wholesale

Technology

Healthcare

Financial Services and Banking

Víctimas conocidas

  • GitHub: Repositorios de código fuente robados
  • Tokopedia: Se filtran 91 millones de registros de usuarios
  • Wattpad: 270 millones de registros robados y filtrados
  • Bonobos: 7 millones de registros de clientes vendidos en línea
  • Numerosas plataformas de entrega de alimentos y comercio electrónico en todo el mundo
Método de ataque

Método de ataque de ShinyHunters

Acceso inicial
Escalada de privilegios
Persistencia y evasión defensiva
Acceso con credenciales
Descubrimiento
Movimiento lateral
Colección
Ejecución
Exfiltración
Impacto
Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.

Explota aplicaciones mal configuradas, credenciales débiles o adquiere acceso a través de intermediarios de la Web oscura.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.

Utiliza exploits o errores de configuración disponibles públicamente en aplicaciones web y bases de datos.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.

Se basa en la ocultación, a menudo mezclándose con el tráfico legítimo o explotando la débil seguridad cloud .

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.

Ataca GitHub, el almacenamiento cloud y las bases de datos internas; recoge las credenciales de los usuarios.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.

Mapas de bases de datos accesibles y repositorios internos.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.

Amplía el acceso desde aplicaciones web a bases de datos backend y repositorios de código.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.

Exfiltra conjuntos de datos a gran escala que contienen PII, información financiera y código fuente.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.

Ejecuta scripts sencillos de extracción de datos y rastreadores automatizados para maximizar el robo de datos.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.

Transfiere conjuntos de datos robados a foros clandestinos y canales de Telegram.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.

Causa daños a la reputación a través de filtraciones masivas, intentos de extorsión y venta de volcados de datos.

Una figura sombría tiende una amplia red sobre un paisaje digital repleto de diversos dispositivos, como ordenadores, teléfonos inteligentes y tabletas. La red simboliza los intentos del atacante de encontrar vulnerabilidades o utilizar técnicas de phishing para obtener acceso no autorizado.
Acceso inicial

Explota aplicaciones mal configuradas, credenciales débiles o adquiere acceso a través de intermediarios de la Web oscura.

Una escalera digital que se extiende hacia arriba desde un icono de usuario básico hacia una corona que simboliza privilegios administrativos. Esto representa los esfuerzos del atacante para obtener acceso de nivel superior dentro del sistema.
Escalada de privilegios

Utiliza exploits o errores de configuración disponibles públicamente en aplicaciones web y bases de datos.

Un camaleón que se funde con un fondo digital, con ceros y unos fluyendo a su alrededor. Representa la capacidad del atacante para evitar ser detectado por las medidas de seguridad, cambiando de táctica para mezclarse con el tráfico normal de la red.
Defensa Evasión

Se basa en la ocultación, a menudo mezclándose con el tráfico legítimo o explotando la débil seguridad cloud .

Un ladrón con una ganzúa trabajando en un ojo de cerradura gigante con forma de formulario de inicio de sesión, que representa los esfuerzos del atacante por robar credenciales de usuario para obtener acceso no autorizado.
Acceso con credenciales

Ataca GitHub, el almacenamiento cloud y las bases de datos internas; recoge las credenciales de los usuarios.

Una lupa moviéndose sobre un mapa digital de una red, resaltando archivos, carpetas y conexiones de red. Esta imagen representa la fase en la que los atacantes exploran el entorno para comprender la estructura y dónde residen los datos valiosos.
Descubrimiento

Mapas de bases de datos accesibles y repositorios internos.

Una serie de nodos interconectados con una figura sombría moviéndose sigilosamente entre ellos. Esto ilustra los movimientos del atacante dentro de la red, buscando obtener el control de sistemas adicionales o propagarse malware.
Movimiento lateral

Amplía el acceso desde aplicaciones web a bases de datos backend y repositorios de código.

Una gran aspiradora aspira archivos, iconos de datos y carpetas en una bolsa sostenida por una figura sombría. Esta imagen simboliza el proceso de recopilación de datos valiosos de la red objetivo.
Colección

Exfiltra conjuntos de datos a gran escala que contienen PII, información financiera y código fuente.

Una ventana de símbolo del sistema abierta delante de un fondo digital, con código malicioso siendo tecleado. Esto representa la fase en la que los atacantes ejecutan su carga maliciosa en el sistema comprometido.
Ejecución

Ejecuta scripts sencillos de extracción de datos y rastreadores automatizados para maximizar el robo de datos.

Una serie de archivos que se canalizan a través de un canal encubierto desde un ordenador a una dirección cloud etiquetada con una calavera, que simboliza la transferencia no autorizada de datos a un lugar controlado por el atacante.
Exfiltración

Transfiere conjuntos de datos robados a foros clandestinos y canales de Telegram.

Una pantalla agrietada con un paisaje urbano digital en caos detrás, que simboliza el impacto destructivo del ciberataque, como la interrupción del servicio, la destrucción de datos o las pérdidas financieras.
Impacto

Causa daños a la reputación a través de filtraciones masivas, intentos de extorsión y venta de volcados de datos.

MITRE ATT&CK Cartografía

TTPs utilizados por ShinyHunters

TA0001: Initial Access
T1190
Exploit Public-Facing Application
T1078
Valid Accounts
TA0002: Execution
No items found.
TA0003: Persistence
T1078
Valid Accounts
TA0004: Privilege Escalation
T1078
Valid Accounts
TA0005: Defense Evasion
T1078
Valid Accounts
TA0006: Credential Access
T1555
Credentials from Password Stores
T1552
Unsecured Credentials
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
T1213
Data from Information Repositories
TA0011: Command and Control
No items found.
TA0010: Exfiltration
T1567
Exfiltration Over Web Service
TA0040: Impact
T1486
Data Encrypted for Impact
Detección de plataformas

Cómo detectar ShinyHunters con Vectra AI

Data Gathering

SQL Injection Activity

Suspicious Admin

Ver más detecciones
Evalúe su exposición a los ataques

¿Está su organización a salvo de los ataques de ransomware de ShinyHunters?

Evalúe su exposición a los ataques

Preguntas frecuentes

¿ShinyHunters despliega ransomware?

¿Cómo gana dinero ShinyHunters?

¿Qué tipo de datos roban?

¿Sus infracciones son selectivas u oportunistas?

¿Trabajan con información privilegiada?

¿Cuál es su relación con otros grupos?

¿Cómo pueden las organizaciones detectar su presencia?

¿Qué industrias corren más riesgo?

¿Hasta qué punto son perjudiciales sus fugas?

¿Cuál es la mejor estrategia de defensa?