Los cazadores de lapsus dispersos exigen a Google Fire expertos en seguridad o se enfrentan a una fuga de datos
El lunes 1 de septiembre de 2025, apareció un mensaje en un canal de Telegram vinculado a varios de los grupos de ciberdelincuencia más comentados de los últimos años. El mensaje, dirigido directamente al director ejecutivo de Google, Sundar Pichai, exigía el despido de dos miembros del equipo de seguridad de la compañía. Si Google se negaba, los hackers amenazaron con filtrar lo que afirmaban ser bases de datos internas.
El grupo responsable de la amenaza se autodenomina " Scattered Lapsus$ Hunters ", una coalición que combina las tácticas y la imagen de marca de Scattered Spider, Lapsu$ y ShinyHunters. En su comunicado, destacaron a Austin Larsen, analista principal de amenazas del Grupo de Inteligencia de Amenazas de Google, y a Charles Carmakal, reconocido líder en ciberseguridad que se unió a Google tras la adquisición de Mandiant .
Los piratas informáticos también “ordenaron” a los equipos de seguridad de Google que abandonaran sus investigaciones en curso sobre varios grupos con numeración UNC, que son grupos rastreados de actividad maliciosa identificados por expertos en respuesta a incidentes.
El mensaje de Telegram fue explícito. Advirtió que, a menos que Larsen y Carmakal fueran despedidos y que Google Threat Intelligence Group y Mandiant dejaran de investigar la actividad atribuida a UNC3944 , UNC5537 , UNC6040 , UNC6240 y UNC6395 , el grupo filtraría datos que afirma haber obtenido de Google.
Hasta el momento, no han presentado ninguna prueba de acceso directo a los sistemas internos de Google. Sin embargo, lo que refuerza la situación es la actividad de ShinyHunters en agosto de 2025 , que anteriormente tenía como objetivo un sistema de Salesforce utilizado por Google para comunicaciones comerciales.
Esta filtración expuso información de contacto y creó oportunidades para campañas de phishing, pero no comprometió las cuentas de Gmail ni los servicios de atención al cliente. Los expertos en seguridad creen que las últimas demandas se centran más en la intimidación y la interrupción de las investigaciones en curso que en cualquier acceso confirmado a la infraestructura principal de Google.
La inclusión de nombres individuales en la amenaza es inusual, incluso para grupos de ciberdelincuentes de alto perfil. Normalmente, los hackers se centran en la extorsión financiera o el robo de datos confidenciales, pero pedir el despido de analistas específicos apunta a un intento calculado de debilitar la capacidad de Google para rastrear y contrarrestar sus operaciones.
Tanto Larsen como Carmakal tienen experiencia en responder a incidentes sofisticados y coordinar estrategias de defensa contra gobiernos y grupos vinculados a Estados y con motivaciones financieras.
Google no ha emitido una respuesta pública al ultimátum de Telegram. Como muestran las capturas de pantalla anteriores, el grupo ha reiterado sus exigencias, advirtiendo que, a menos que los empleados mencionados sean despedidos, filtrarán lo que afirman son datos robados de Google.
HackRead
