por estafas cibernéticas a empresas multinacionales

Investigación revela que piratas informáticos marroquíes están detrás de fraudes globales con tarjetas digitales.

Una reciente investigación de Unit 42, la división especializada en ciberseguridad de Palo Alto Networks, reveló la existencia de una operación internacional de fraude cibernético denominada “Jingle Thief”, dirigida por un grupo de hackers con base en Marruecos.

Según el informe, esta red delictiva se enfoca en obtener beneficios económicos mediante el robo y la emisión ilegal de tarjetas de regalo digitales, aprovechando especialmente las temporadas festivas. Para lograrlo, los piratas utilizan técnicas de phishing y smishing —suplantación de identidad a través de correos electrónicos y mensajes de texto— dirigidas a empresas multinacionales del sector minorista y de servicios al consumidor.

Lo que hace particularmente peligrosa a esta organización, señala el estudio, es su capacidad para permanecer dentro de los sistemas vulnerados durante largos periodos, en algunos casos superiores a un año, lo que les permite conocer a fondo las estructuras internas y acceder a infraestructuras críticas sin ser detectados.

El informe detalla que entre abril y mayo de 2025, los atacantes lanzaron una serie coordinada de intrusiones contra distintas compañías internacionales.

Hackers marroquíes con motivaciones financieras.

De acuerdo con Unit 42, los miembros de “Jingle Thief” operan desde 2021 y actúan por motivaciones económicas, sin vínculo directo con ningún Estado. Sin embargo, su modo de operación se caracteriza por tácticas avanzadas, planificación precisa y persistencia, elementos que los hacen especialmente difíciles de rastrear.

A diferencia de otros grupos que recurren a malware tradicional, estos atacantes se concentran exclusivamente en entornos en la nube. Una vez que consiguen credenciales de acceso mediante el fraude, se infiltran en plataformas como Microsoft 365, SharePoint, OneDrive, Exchange o Entra ID, suplantando la identidad de usuarios legítimos para obtener datos sensibles y emitir tarjetas de regalo de manera fraudulenta.

El estudio documenta que, en una de las operaciones analizadas, los piratas mantuvieron acceso a los datos de una compañía global durante casi diez meses, comprometiendo más de 60 cuentas corporativas. Su estrategia muestra una notable paciencia operativa, ya que sincronizan los ataques con fechas festivas, momentos en los que las empresas suelen tener menos personal activo y mayor actividad comercial.

El atractivo de las tarjetas de regalo para el crimen digital

El informe explica que las tarjetas de regalo son un blanco ideal debido a su facilidad para convertirse en dinero, la posibilidad de revenderlas en mercados secundarios y la dificultad para rastrear las transacciones. Además, muchos sistemas de emisión cuentan con controles de seguridad limitados, amplios permisos internos y poca supervisión, lo que facilita su manipulación.

Los atacantes han intentado repetidamente acceder a distintas plataformas emisoras de tarjetas, generando vales de alto valor que podrían ser utilizados para lavar dinero o servir como garantía en operaciones ilegales, transformando así los robos digitales en fondos en efectivo imposibles de rastrear.

Antes de cada ofensiva, los piratas dedican tiempo al reconocimiento del objetivo, recopilando información sobre marcas, correos corporativos, portales de acceso y dominios. De este modo, logran crear páginas falsas de inicio de sesión prácticamente idénticas a las originales, con las que engañan tanto a empleados como a los sistemas de seguridad.

Operaciones desde direcciones IP marroquíes

El informe también señala que la actividad de los cibercriminales fue rastreada hasta direcciones IP localizadas en Marruecos, según los registros de Microsoft 365 vinculados a los incidentes. En lugar de ocultar su ubicación mediante redes privadas virtuales, los atacantes operaban directamente desde conexiones marroquíes, utilizando ocasionalmente servicios como “Mysterium VPN”.

Los datos de red coincidieron además con proveedores de telecomunicaciones marroquíes, lo que confirma el origen de las operaciones.

Una amenaza global persistente

Los analistas de Unit 42 advierten que el grupo “Jingle Thief” representa una nueva generación de delincuencia digital, altamente sofisticada y con capacidad de infiltrarse sin necesidad de programas maliciosos. En lugar de implantar virus, usan el propio entorno de la nube como herramienta de ataque, lo que complica su detección y aumenta su efectividad.

La investigación concluye que este tipo de campañas reflejan un cambio en la naturaleza del cibercrimen internacional, donde la paciencia, el conocimiento técnico y el acceso prolongado a las redes corporativas se convierten en las armas más peligrosas.

Publicado el : 27 de octubre de 2025

---

---

Compartir este artículo: