Un nuevo grupo de extorsión llamado Pink, que podría ser una continuación de la banda conocida como BlackFile, ha comenzado a utilizar llamadas de soporte técnico fraudulentas para obtener acceso inicial a los sistemas informáticos de empresas, robar información sensible y amenazar con divulgarla a menos que se pague un rescate. La unidad de inteligencia de amenazas Unit 42 de Palo Alto Networks fue la primera en identificar a esta banda, registrada como el grupo CL-CRI-1147, además de su sitio web para publicar datos filtrados, que entró en funcionamiento el 31 de mayo de 2026.
Según describen, Pink recurre a técnicas de vishing y se hace pasar por empleados de soporte informático para obtener credenciales y sortear la autenticación multifactor (MFA). Una vez dentro, exfiltran datos almacenados en la nube de la empresa y archivos de productividad para extorsionar a las víctimas. No obstante, expertos de Google Threat Intelligence sugieren que Pink no es un grupo enteramente nuevo, sino una evolución o cambio de nombre de BlackFile, que previamente se había transformado en “Redact”. También mantienen que existen evidencias de que Pink comparte infraestructura y modus operandi con el grupo UNC6671, con dominios relacionados publicados recientemente por Unit42.
Independientemente de su verdadera identidad, la estrategia de Pink es familiar para la comunidad de ciberseguridad. Estos cibercriminales usan ingeniería social para engañar a empleados y obtener acceso privilegiado a redes corporativas y servicios en la nube, saltándose la autenticación de múltiples factores. Bandas como Lapsus$ popularizaron esta modalidad entre 2021 y 2022, atacando grandes compañías como Nvidia, Microsoft y Okta. Posteriormente, Scattered Spider y ShinyHunters siguieron utilizando un patrón similar para comprometer empresas y universidades.
A pesar de las detenciones y desarticulaciones que han sufrido estas organizaciones, vuelven a aparecer con nuevas identidades. Muchos expertos vinculan a estos grupos con The Com, una red fragmentada de delincuentes que combinan hackers, suplantadores de SIM y extorsionadores, y que en algunos casos recurren a la violencia en el mundo real.
Unit42 señala que Pink es probablemente una operación afiliada a The Com. Su último descubrimiento ocurrió tras investigar varios casos de extorsión en las últimas semanas, cuando encontraron nueva comunicación procedente de un actor que empleaba un correo web gratuito y que proporcionó un nuevo ID de contacto en la plataforma qTox, así como un sitio para la publicación de datos bajo la marca Pink.
Los atacantes de Pink suelen establecer un plazo de 72 horas para que la víctima responda antes de filtrar la información robada. Tras acceder a las cuentas, buscan datos valiosos en plataformas como SharePoint y OneDrive. También utilizan los accesos comprometidos y mensajes internos en Teams para presionar a las empresas a pagar las demandas.
Entre los indicadores de compromiso detectados se incluyen los dominios de phishing: passkeyadd.com, passkeydeploy.com y deploypasskey.com; y direcciones IP relacionadas con hosting de phishing, acceso a cuentas comprometidas y creación de correos de extorsión. En la exfiltración de datos, se han observado cadenas de agente de usuario específicas, como Microsoft.Graph.Client y python-requests en sus versiones 2.28.1 y 2.33.1.
Los expertos recomiendan extremar la precaución ante llamadas al servicio técnico, especialmente aquellas en las que se solicitan credenciales o se anuncian actualizaciones urgentes de seguridad, ya que son el principal vector de ataque para estos criminales.
