🛎️ “Jingle Thief”: cuando la nube se convierte en la nueva caja fuerte del fraude con tarjetas regalo

La campaña criminal conocida como “Jingle Thief” explota servicios en la nube, especialmente Microsoft 365, para sustraer millones de dólares mediante fraudes con tarjetas de regalo. Los atacantes, que investigadores atribuyen con moderada confianza a grupos con base en Marruecos, evitan el malware tradicional y operan directamente desde entornos cloud.

Usan phishing y smishing para obtener credenciales corporativas y, con ese acceso, revisan OneDrive, SharePoint y archivos compartidos en busca de procesos de emisión y aprobación de tarjetas. Luego manipulan flujos internos: crean reglas en bandejas de correo para ocultar notificaciones, registran dispositivos y añaden aplicaciones autenticadoras ilegítimas, lo que les permite mantener persistencia incluso si se cambian contraseñas o se revocan sesiones.

El nombre “Jingle Thief” refleja la temporalidad de sus ataques: muchas campañas coinciden con temporadas festivas para maximizar la reventa de tarjetas en mercados grises y facilitar el lavado de dinero.

Este esquema evidencia un cambio radical en la delincuencia: el perímetro ya no es la red tradicional, es la identidad en la nube. La menor huella digital y el uso de credenciales legítimas dificultan la detección.

Recomendaciones rápidas

• Vigilar patrones de comportamiento e inicios de sesión atípicos (UEBA).

• Implementar detección avanzada en correo (ATP/Email Security) y políticas de ITDR.

• Revisar reglas automáticas en buzones y métodos de autenticación registrados.

• Fortalecer MFA y controles de acceso condicional en Microsoft 365.

📌 Conclusión: Jingle Thief demuestra que proteger identidades y entornos cloud es hoy la primera línea de defensa contra fraudes sofisticados con impacto financiero masivo.