ShinyHunters: el grupo de hackers que convirtió los datos en un modelo de negocio

ShinyHunters salió del anonimato en mayo de 2020 y, en tan solo dos semanas, ya había puesto a la venta en la dark web más de 200 millones de registros de usuarios robados. Seis años después, el grupo ha atacado entre 300 y 400 empresas, ha comprometido miles de millones de registros y se ha convertido en uno de los grupos más conocidos del mundo de la ciberdelincuencia.

Lo hicieron aprovechando vulnerabilidades técnicas y la confianza de las personas.

Conocer a los ShinyHunters

ShinyHunters es un grupo de hackers criminales de «black hat» y extorsionadores que se cree que se formó ya en 2019. El grupo opera bajo el liderazgo de una figura conocida como ShinyCorp, a la que también se hace referencia en los canales de Telegram como sp1d3rhunters y shinyc0rp.

El motivo del grupo es económico. Su modelo operativo sigue un proceso sencillo y despiadado: infiltrarse, sustraer datos, exigir un rescate y, si se rechaza el pago, publicar o subastar los datos.

Con el paso del tiempo, este modelo se ha convertido en algo más parecido a una organización criminal. En 2025, ShinyHunters se había expandido al sector del «ransomware como servicio» (RaaS) bajo el alias de ShinySp1d3r, posicionándose para llenar el vacío dejado por la desaparición de LockBit a principios de 2024.

ShinyHunters también se hizo con la propiedad de BreachForums, uno de los mercados de datos robados más destacados de la red, tras la detención de su fundador original en 2023. En octubre de 2025, el FBI confiscó el foro. ShinyHunters se retiró públicamente poco después, calificándolo de pérdida de tiempo, filtrando datos de 300 000 usuarios del foro y advirtiendo de que todos los dominios activos restantes de BreachForums son falsos.

Detenciones y medidas policiales

Las fuerzas del orden han logrado avances tangibles contra el grupo, aunque las detenciones no han logrado detener sus operaciones.

En mayo de 2022, el programador francés Sébastien Raoult —también conocido como Sezyo Kaizen— fue detenido. Francia se negó a extraditarlo, y Estados Unidos finalmente consiguió su extradición a través de Marruecos.

Raoult llegó a Estados Unidos en enero de 2023. En enero de 2024, fue condenado a tres años de prisión federal y se le ordenó pagar más de 5 millones de dólares en concepto de indemnización tras ser acusado de conspiración para cometer fraude electrónico y robo de identidad con agravantes.

El Departamento de Justicia de Estados Unidos declaró que, entre abril de 2020 y julio de 2021, Raoult y sus cómplices cometieron más de 60 delitos contra empresas, causando pérdidas económicas que superan los 6 millones de dólares. Dos de los cómplices, Gabriel Kimiaie-Asadi Bildstein y Abdel-Hakim El Ahmadi, ambos de nacionalidad francesa, fueron incluidos en la misma acusación. Hasta la fecha, ninguno de ellos ha sido condenado públicamente.

En mayo de 2024, las autoridades detuvieron en Turquía a John Erin Binns, ciudadano estadounidense, acusado de haber pirateado T-Mobile en 2021.

En junio de 2025, las autoridades francesas coordinaron una operación multirregional que condujo a la detención de otros cuatro presuntos miembros vinculados a la administración de BreachForums, que operaban bajo los alias ShinyHunters, Hollow, Noct y Depressed. La cúpula del grupo siguió activa durante y después de cada una de estas acciones.

Cómo operan los ShinyHunters

Los ShinyHunters no se limitan a un único método de ataque. Su eficacia radica en su versatilidad operativa: recurren a la táctica que mejor se adapta al objetivo.

• Las configuraciones erróneas en la nube constituyen un punto de entrada habitual. Los controles de acceso deficientes y el almacenamiento en la nube mal configurado han propiciado varias filtraciones de gran repercusión. Las organizaciones que amplían rápidamente su infraestructura en la nube suelen ir por delante de sus propias medidas de seguridad.
• El robo de tokens OAuth es una técnica más selectiva. ShinyHunters compromete tokens OAuth y los utiliza para acceder a plataformas SaaS conectadas. Un solo token comprometido puede provocar un efecto dominó en múltiples objetivos posteriores.
• Los ataques a la cadena de suministro amplían aún más el alcance del impacto. En lugar de atacar directamente a un objetivo, los ShinyHunters se cuelan en un proveedor o una empresa de servicios tecnológicos que presta servicios a varias empresas. El incidente de Snowflake de 2024 es el ejemplo más claro: una sola vulneración de la cadena de suministro provocó el robo de datos de al menos 160 empresas.
• El reclutamiento de personas con información privilegiada se ha convertido en una parte reconocida de la estrategia del grupo. ShinyHunters soborna a empleados y contratistas para que les faciliten acceso interno a los sistemas. Esta técnica resulta especialmente difícil de detectar, ya que las credenciales utilizadas son legítimas y están autorizadas, y dejan un rastro forense mínimo.
• phishing por voz phishing vishing) y la ingeniería social avanzada han cobrado cada vez más importancia en las campañas del grupo. Los atacantes se hacen pasar por el servicio de asistencia informática para engañar a los empleados y que estos revelen sus credenciales o concedan acceso a los sistemas internos.

Las brechas de ShinyHunters

Cómo empezó todo

Tokopedia

En mayo de 2020, ShinyHunters llevó a cabo un ataque contra Tokopedia, la mayor plataforma de comercio electrónico de Indonesia, y afirmó haber obtenido los datos de 91 millones de cuentas de usuario. Los datos sustraídos incluían fechas de nacimiento, nombres, direcciones de correo electrónico y contraseñas. Este ataque fue una de las primeras acciones públicas del grupo y sentó las bases de su modelo de exfiltración de datos a gran escala seguida de su venta en la dark web.

AT&T Wireless

ShinyHunters atacó por primera vez a AT&T en 2021, vendiendo los datos de 70 millones de personas en un foro de ciberdelincuencia. AT&T negó inicialmente la acusación. En 2024, el grupo reapareció con un conjunto de datos mucho mayor que afectaba a 110 millones de clientes. AT&T confirmó la filtración y, según se informa, pagó un rescate de 370 000 dólares para que se eliminaran los datos.

Ticketmaster y Snowflake

En 2024, ShinyHunters puso a la venta los datos personales de 560 millones de clientes de Ticketmaster, pidiendo 500 000 dólares por el acceso exclusivo. El conjunto de datos, de 1,3 terabytes, incluía nombres, direcciones, números de teléfono y datos parciales de tarjetas de crédito. Live Nation confirmó la actividad no autorizada en un escrito presentado ante la Comisión de Valores y Bolsa de Estados Unidos.

La amenaza actual

Coinbase

En 2025, ShinyHunters contrató a personal externo de atención al cliente para acceder a los sistemas internos de Coinbase y extraer datos de los clientes, entre ellos nombres, números de la Seguridad Social, datos bancarios e historiales de transacciones. Los atacantes exigieron un rescate de 20 millones de dólares.

Coinbase se negó a pagar y, en su lugar, ofreció una recompensa de 20 millones de dólares por cualquier información que condujera a la detención de los atacantes. En diciembre de 2025 se detuvo a un antiguo empleado de Coinbase en relación con la filtración.

Instructure/Canvas

En abril de 2026, ShinyHunters atacó a Instructure, la organización responsable del sistema de gestión del aprendizaje Canvas, aprovechando una vulnerabilidad en su programa de cuentas gratuitas para docentes. El grupo afirmó haber sustraído 3,65 terabytes de datos que afectaban a 275 millones de usuarios de 8.809 instituciones educativas de todo el mundo.

Anodot

En 2026, ShinyHunters atacó a Anodot, un proveedor externo de servicios de análisis, y robó tokens de autenticación que permitían acceder a los datos de los clientes almacenados en entornos de Google BigQuery y Snowflake. Entre las víctimas secundarias confirmadas se encuentran Rockstar Games, donde se sustrajeron casi 80 millones de registros; Vimeo, donde se filtraron los datos de 119 000 usuarios; y Zara, donde se vieron comprometidos 197 000 registros de clientes.

Por qué las empresas siguen estando en riesgo

El punto de entrada varía, pero el resultado es siempre el mismo: se roban datos y se exige un rescate

Las consecuencias derivadas de una filtración van mucho más allá del robo inicial de datos. Las credenciales robadas de los empleados se utilizan para lanzar phishing dirigidas contra clientes y socios. La información sobre dominios que queda al descubierto permite a los ciberdelincuentes registrar dominios similares que suplantan la identidad de su marca. Las direcciones de correo electrónico filtradas se convierten en el combustible de los ataques de BEC.

La filtración es el comienzo de la amenaza, no su fin.

Sin una supervisión continua de la exposición de credenciales, la actividad de dominios falsos y las deficiencias en la autenticación del correo electrónico, las empresas siguen expuestas a riesgos mucho tiempo después de que se haya controlado una filtración.

Cómo ayuda Sendmarc a las organizaciones a mantenerse protegidas

Sendmarc aborda los riesgos relacionados con el correo electrónico que surgen tras una filtración de datos.

Breach Detection

Cuando las credenciales de correo electrónico de los empleados quedan expuestas en una filtración de datos, las empresas a menudo no se enteran hasta que el daño ya está hecho.

Sendmarc’s Breach Detection supervisa continuamente fuentes de datos de filtraciones conocidas en busca de credenciales de empleados comprometidas. Los equipos de seguridad reciben alertas cuando las credenciales aparecen en conjuntos de datos filtrados, lo que permite una respuesta rápida antes de que esas credenciales se utilicen para la apropiación de cuentas, el movimiento lateral o phishing dirigido.

Para los equipos de TI y seguridad, que a menudo se ven desbordados al gestionar entornos grandes y distribuidos, esto elimina la carga que supone la investigación manual. La supervisión continua sustituye a la detección reactiva.

Lookalike Domain Defense

Tras una filtración de gran repercusión, los ciberdelincuentes pueden registrar dominios similares que se hacen pasar por la marca afectada. Estos dominios se utilizan para lanzar phishing dirigidas a clientes, socios y empleados que, al estar ya en alerta tras la divulgación de la filtración, son más propensos a responder a lo que parece ser una comunicación urgente.

Sendmarc’s Lookalike Domain Defense identifica los dominios diseñados para suplantar a su empresa. Los equipos de seguridad obtienen visibilidad sobre los intentos de suplantación antes de que esos dominios se utilicen con fines maliciosos, lo que permite tomar medidas para eliminarlos y comunicarse de forma proactiva con los clientes.

Autenticación de correo electrónico

DMARC impide que remitentes no autorizados utilicen tu dominio para enviar correos electrónicos fraudulentos.

La soluciónDMARC de Sendmarc ofrece a los equipos de seguridad y de TI una visión global de todas las fuentes de envío de correo electrónico, identifica a los remitentes no autorizados o mal configurados y aplica políticas de autenticación en todos los departamentos y regiones. En combinación con DKIM SPF DKIM , esto garantiza que los correos electrónicos enviados desde su dominio estén autenticados, sean auditables y estén protegidos contra posibles abusos.

ShinyHunters lleva seis años en activo, ha sobrevivido a múltiples detenciones y ha seguido perfeccionando sus métodos. La amenaza no es teórica. Los datos de la filtración son reales, el riesgo para el correo electrónico posterior es real, y las organizaciones que siguen expuestas son aquellas que carecen de un sistema de supervisión continua.

Sendmarc ayuda a las empresas a subsanar esa deficiencia, antes de que una filtración se convierta en una crisis de marca.