Los actores maliciosos se aprovechan de las causas sociales para manipular el comportamiento de los usuarios
10 de febrero de 2026
Por el equipo de investigación de amenazas de Mimecast
- Campañas de phishing que aprovechan los temas del Mes del Orgullo para provocar reacciones emocionales y eludir las medidas de concienciación en materia de seguridad
- La campaña se desarrolló en dos fases diferenciadas: en diciembre de 2025, con 504 objetivos, seguida de una intensificación en enero de 2026 hasta alcanzar los 4.768 objetivos, lo que supuso un total de 5.272 organizaciones en Estados Unidos, el Reino Unido, Alemania, Australia, Sudáfrica, Canadá y otras regiones.
- Las técnicas de ataque coinciden con los métodos utilizados por los actores maliciosos Scattered Spider, CryptoChameleon y PoisonSeed
- La campaña de diciembre se centró en los servicios financieros y la consultoría; la campaña de enero cambió su enfoque hacia las tecnologías de la información, el SaaS y el comercio minorista, aunque mantuvo la segmentación de los servicios financieros, lo que indica bien una optimización de la segmentación, bien la existencia de múltiples operaciones coordinadas.
Resumen de la campaña
El equipo de investigación de amenazas de Mimecast ha identificado a actores maliciosos que se aprovechan de causas sociales —concretamente, del Mes del Orgullo y de las iniciativas en favor de la diversidad— para manipular a las organizaciones y que estas adopten medidas precipitadas. Estas campañas hacen un uso indebido deliberado de los valores legítimos de las organizaciones para generar la sensación de urgencia que necesitan los atacantes para llevar a cabo con éxito el robo de credenciales.
Esta táctica resulta especialmente eficaz porque se aprovecha del compromiso genuino de la organización con la diversidad y la inclusión. Independientemente de si los destinatarios apoyan o se oponen a la iniciativa, los atacantes cuentan con que cualquiera de ambas reacciones impulse la interacción con enlaces maliciosos sin un análisis suficiente.
Cabe destacar que esta campaña se puso en marcha a mediados de diciembre, meses antes del Mes del Orgullo, que se celebra en junio. Esto sugiere que los autores de las amenazas están planificando con antelación o probando mensajes que puedan tener repercusión en futuras campañas. Además, este momento coincide con los calendarios de vacaciones de fin de año, en los que muchas organizaciones operan con una plantilla de TI reducida y una menor vigilancia de la seguridad, condiciones que favorecen el éxito de los ataques de phishing.
Fases de la campaña y escalada
La campaña se llevó a cabo mediante dos operaciones distintas. La oleada de diciembre de 2025 tuvo como objetivo 504 organizaciones, principalmente en EE. UU. (62%) y el Reino Unido (20%), centrándose especialmente en el sector de los servicios financieros, los servicios profesionales y las empresas de consultoría. Parece que se trató de una fase de reconocimiento o de pruebas.
La oleada de enero de 2026 supuso un aumento de 9,5 veces, y tuvo como objetivo 4.768 organizaciones en una zona geográfica más amplia. Aunque Estados Unidos y el Reino Unido siguieron siendo los principales objetivos (57% y 21%, respectivamente), la campaña afectó ahora de manera significativa a Alemania, Australia, Sudáfrica y Canadá. Los sectores objetivo también han cambiado: los ataques dirigidos a las operaciones de TI y SaaS pasaron del 6% al 13%; los dirigidos al comercio minorista, del 4% al 7%; mientras que los servicios financieros siguieron siendo una prioridad máxima, con un 13%. Esto apunta bien a múltiples operaciones coordinadas, bien a una optimización activa de la selección de objetivos basada en los resultados de diciembre.
El método de ataque
En los correos electrónicos se afirma que, por indicación de la dirección ejecutiva y de acuerdo con los valores corporativos, se aplicarán automáticamente encabezados y pies de página con temática del Orgullo a las cuentas corporativas. A los destinatarios se les ofrece la posibilidad de darse de baja, lo que les da una falsa sensación de control al tiempo que los dirige hacia enlaces maliciosos.
Se trata de ingeniería social por naturaleza. Los beneficiarios que apoyan la iniciativa pueden hacer clic aquí para obtener más información. Quienes se opongan, hagan clic para darse de baja. Ambas respuestas resultan exitosas para el atacante, ya que la interacción con el enlace precede al análisis.
Los correos electrónicos de enero han evolucionado hasta incluir prefijos en el asunto basados en perfiles de usuario, lo que sugiere que los atacantes se hacen pasar por personas concretas para aumentar la percepción de legitimidad y eludir los filtros basados en el remitente.
Al hacer clic, los usuarios acceden a una página de verificación CAPTCHA (una táctica habitual de los atacantes para eludir la detección y filtrar a los usuarios) antes de ser redirigidos a páginas destinadas a la recopilación de credenciales que imitan las interfaces de inicio de sesión de SendGrid.
Aprovechamiento de las infraestructuras y la cadena de suministro
Los atacantes aprovechan cuentas de SendGrid —una plataforma legítima de envío masivo de correos electrónicos— que han sido comprometidas para distribuir mensajes a escala empresarial. Las URL maliciosas redirigen, a través de la infraestructura de SendGrid, a dominios controlados por los atacantes, entre los que se incluyen lgbtsendgrid[.]com y lgbt-sg[.]com.
Este enfoque ilustra un patrón de ataque a la cadena de suministro más amplio que se ha observado en múltiples campañas de amenazas. Al comprometer proveedores de CRM y de servicios de correo electrónico como SendGrid, Mailchimp, HubSpot y otros, los autores de las amenazas obtienen acceso a una infraestructura consolidada y a listas de contactos que aportan credibilidad a sus mensajes de phishing. Esta táctica resulta especialmente eficaz porque los destinatarios reciben correos electrónicos procedentes de servicios de confianza o de cuentas internas de la empresa, lo que les permite sortear las barreras iniciales de confianza. Las organizaciones suelen ejercer un control menos riguroso sobre las cuentas de servicios de terceros en comparación con la infraestructura propia, lo que brinda a los atacantes una oportunidad adicional para actuar sin ser detectados.
Una vez que se han sustraído las credenciales y se han creado claves API para garantizar la persistencia, estas cuentas comprometidas se convierten en un medio para distribuir ataques de phishing a gran escala. Otras campañas maliciosas han utilizado esta misma infraestructura para atacar plataformas de criptomonedas, recopilar listas de correo y llevar a cabo operaciones de spam masivo, lo que demuestra que los proveedores de servicios de correo electrónico se han convertido en un objetivo principal en las estrategias de los actores maliciosos.
Atribución de campañas
Aunque resulta difícil atribuir la autoría de forma definitiva, las técnicas observadas comparten características con las operaciones de amenaza «Scattered Spider», «CryptoChameleon» y «PoisonSeed»:
- Aprovechamiento indebido de la infraestructura de un proveedor legítimo de servicios de correo electrónico
- Convenciones de nomenclatura de dominios que imitan a servicios de confianza
- Centrarse en la obtención de credenciales para facilitar ataques posteriores
- Dirigido a empresas de diversos sectores
El panorama general de las amenazas
Estas campañas forman parte de un patrón de ataque más amplio en el que los autores de las amenazas se hacen con el control de los sistemas de gestión de relaciones con los clientes (CRM) y de los proveedores de servicios de correo electrónico para distribuir ataques de phishing a gran escala. Al sustraer credenciales de plataformas como Mailchimp, SendGrid y HubSpot, los atacantes envían mensajes fraudulentos que parecen proceder de fuentes internas o asociadas de confianza.
Investigaciones recientes sobre amenazas han identificado múltiples campañas coordinadas dirigidas contra la misma infraestructura de correo electrónico, lo que indica que se trata de una estrategia de ataque consolidada y no de un caso aislado. Las organizaciones parecen ser objeto de ataques sistemáticos, tanto por su capacidad como infraestructura de ataque como por sus listas de contactos, que permiten acceder a objetivos de gran valor. Esto significa que la protección de SendGrid, Mailchimp y otras plataformas similares constituye ahora una parte fundamental de la estrategia de seguridad del correo electrónico de las organizaciones, y no se limita únicamente a la gestión de la infraestructura local o de la nube directa.
Este enfoque aborda un reto constante para los atacantes: conseguir que los destinatarios de las organizaciones interactúen con los mensajes de phishing. El uso de servicios legítimos y causas sociales de actualidad aumenta la credibilidad y los índices de participación en comparación con el phishing masivo tradicional.
Protección de Mimecast
Mimecast ha implementado funciones de detección para identificar campañas que utilizan la infraestructura de servicios de correo electrónico legítimos con fines maliciosos. Nuestro equipo de investigación de amenazas sigue vigilando la evolución de las tácticas y las variaciones de dominios que utilizan estas operaciones maliciosas.
Objetivos principales
Organizaciones de ocho países repartidos por América del Norte, Europa y África Meridional. Mercados principales por región: EE. UU. (58% del total), Reino Unido (21%), Australia, Alemania, Sudáfrica, Canadá y otros.
Indicadores de compromiso (IOC)
Los dominios maliciosos que atraen a la comunidad LGBTQ
- lgbtsendgrid[.]com
- gbt-sg[.]com
Temas relacionados con la comunidad LGBT
- Actualización del tema del Mes del Orgullo
- Un mensaje de nuestro equipo
- Novedades sobre la personalización de los correos electrónicos
Campañas similares: dominios maliciosos
- https-sendgrid[.]info
- https-sglogin[.]com
- https-sgpartners[.]info
- https-sgportal[.]com
- id-unlink[.]com
- internal-ssologin[.]com
- legalcompliance-login[.]com
- login-enterprisesso[.]com
- login-request[.]com
- login-sgdashboard[.]com
- loginportalsg[.]com
- manage-sgdashboard[.]com
- myhubservices[.]com
- mysandgrid[.]com
- navigate-sendgrid[.]com
- network-sendgrid[.]com
- open-sglogin[.]com
- >partnerdashboard-sglogin[.]com
- portal-sendgrld[.]com
- establish-sendgrid[.]com
Temas de campañas similares
- El punto final de la API no responde
- El punto final de la API no responde
- Clave API generada
- Problema con la entrega de solicitudes de la API
- Actualización de la política de solicitudes de la API
- Las solicitudes de la API no se procesan
- Error en la URL de devolución de llamada
- Los registros de autenticación de dominio están a punto de caducar
- Se ha detectado un problema de conexión en el terminal
- Se ha detectado un fallo en el punto final de la puerta de enlace
- Se ha detectado un nuevo inicio de sesión
- Se ha alcanzado el límite de la API de SendGrid
- Se ha alcanzado la capacidad máxima de envío
- Aviso de servicio
- Problema de configuración de la plantilla
- El punto final del webhook no responde
- El punto final del webhook devuelve errores
Recomendaciones
Formación en concienciación sobre seguridad para usuarios
- Informe a los empleados sobre las tácticas de ingeniería social que se aprovechan de las reacciones emocionales ante temas sociales o políticos.
- Haga hincapié en que los cambios legítimos en las políticas por parte de la dirección ejecutiva suelen comunicarse a través de los canales de comunicación internos establecidos, y no mediante enlaces de correo electrónico externos.
- Capacite a los usuarios para que comprueben las notificaciones inesperadas relacionadas con las políticas mediante la comunicación directa con los departamentos de Recursos Humanos o de Tecnologías de la Información
- Realice simulaciones de phishing que incluyan temas sociales de gran carga emocional para fomentar la capacidad de reconocimiento
Detección proactiva de amenazas
- Busque en los registros de recepción de correo electrónico los mensajes procedentes de Sendgrid y con los asuntos indicados
Keep your edge in threat intelligence
Join thousands of security professionals who rely on our curated alerts, expert analysis, and campaign IOCs to defend against the latest cyber threats.
Sign up successful
Thank you for signing up to receive updates for our threat intelligence notifications.
We will be in touch!