Google confirma la filtración de datos de Salesforce por parte de ShinyHunters mediante una estafa de vishing

En una revelación reciente, Google confirmó que una de sus bases de datos internas fue violada por una conocida organización cibercriminal. El Grupo de Inteligencia de Amenazas de Google (GTIC), que ya investigaba las actividades del grupo conocido como ShinyHunters (o UNC6040), reveló que su propia base de datos de Salesforce fue accedida en junio. El ataque expuso información perteneciente a las pymes clientes de Google.

La empresa afirmó que la filtración se contuvo rápidamente y que los hackers solo tuvieron acceso durante un breve periodo de tiempo. Los datos robados se describieron como básicos y, en gran parte, públicos, e incluían nombres de empresas, datos de contacto y algunas notas relacionadas. Si bien Google no reveló la magnitud total de la filtración, el incidente pone de manifiesto una creciente preocupación por la seguridad de todas las empresas, incluidas las gigantes tecnológicas.

Este ataque no fue un hackeo tradicional que explotaba una falla de software, sino un sofisticado esquema de ingeniería social . Los hackers utilizaron un método llamado vishing (phishing de voz), en el que se hicieron pasar por el personal de soporte técnico de una empresa durante una llamada telefónica.

Durante la llamada, engañaron a un empleado de Google para que aprobara una aplicación maliciosa disfrazada de herramienta legítima: Salesforce Data Loader. Esta aplicación fraudulenta les permitió a los hackers acceder a la base de datos, lo que les permitió robar información.

Según la investigación de Google Threat Intelligence Group (GTIG), UNC6040 es responsable de las intrusiones, mientras que un grupo independiente, UNC6240, gestiona la extorsión, exigiendo pagos en Bitcoin en un plazo de 72 horas. La compañía también advierte que los hackers han actualizado sus herramientas y podrían estar planeando lanzar un Sitio de Fuga de Datos (DLS) para presionar a las víctimas.

“La noticia de que Google ha sufrido una filtración de datos en la reciente ola de ataques de ShinyHunters pone de manifiesto que ninguna organización es inmune a la ciberdelincuencia ” , declaró William Wright , director ejecutivo de Closed Door Security. “No importa si se trata de una pequeña empresa o de una de las empresas tecnológicas líderes a nivel mundial, todas las organizaciones son vulnerables ” .

También enfatizó que la capacitación de los empleados y el uso de MFA son claves para bloquear estos ataques en sus primeras etapas.

Esta brecha forma parte de una tendencia más amplia de ataques del grupo ShinyHunters. Durante el último año, Hackread.com ha informado sobre la vinculación del grupo con varios incidentes de gran repercusión, incluyendo una brecha masiva en el banco Santander en mayo de 2024 y otra en Ticketmaster que afectó a más de 560 millones de clientes en todo el mundo.

La amenaza sigue activa, ya que la marca de moda de lujo Chanel también anunció recientemente que sufrió una filtración de datos en julio, que afectó a algunos de sus clientes estadounidenses a través de una base de datos externa de Salesforce. El informe de Google también advierte que ShinyHunters podría estar planeando intensificar sus actividades mediante el lanzamiento de un sitio web público de filtración de datos.

En respuesta al ataque, Google afirmó haber tomado medidas inmediatas para proteger sus sistemas y notificar a los clientes afectados. La compañía también recomienda a otras empresas reforzar sus defensas con una mejor capacitación de sus empleados, autenticación multifactor y controles de acceso más estrictos para prevenir ataques similares de ingeniería social.