Google confirma robo de datos tras brecha en instancia de Salesforce, luego de que el grupo ShinyHunters engañara a empleados para instalar una app modificada, logrando acceder a información de clientes corporativos.
¿Qué reveló Google sobre el ataque?
En junio de 2025, Google detectó que uno de sus sistemas corporativos de Salesforce fue comprometido por el grupo UNC6040, también conocido como ShinyHunters.
Los atacantes lograron extraer datos de clientes —principalmente información de contacto y nombres de pequeñas y medianas empresas— durante una ventana breve antes de que Google interrumpiera el acceso.
¿Cómo engañaron a los empleados?
El ataque comenzó con vishing, donde los hackers llamaban a empleados haciéndose pasar por soporte IT. Les pedían instalar una app falsa, similar al Data Loader de Salesforce, que daba acceso directo a entornos corporativos.
Una vez instalada, la app permitía consultar y robar datos directamente del sistema CRM, sin necesidad de explotar vulnerabilidad técnica de Salesforce.
¿Qué tipo de datos se sustrajeron?
La información comprometida fue limitada pero relevante: nombres de empresas y datos de contacto en su mayoría públicos. Google asegura que no hubo acceso a datos financieros ni personales sensibles.
Google aún no ha precisado cuántos clientes fueron afectados ni si ya hubo demandas de rescate. Sin embargo, se teme que ShinyHunters publique estos datos en sitios de filtraciones para presionar pagos.
¿ShinyHunters y qué hay detrás del ataque?
ShinyHunters es un actor especializado en filtraciones masivas con historial en empresas como Oracle, AT&T, Qantas y LVMH.
El ataque actual comparte infraestructura con campañas vinculadas a una red mayor conocida como “The Com”, dedicada al cibercrimen y la extorsión online.
Lecciones y prevención para empresas
- Este caso confirma que no fue un fallo técnico de Salesforce, sino un ataque de ingeniería social sofisticada.
- Google ya evaluó el alcance del impacto y aplicó medidas inmediatas. La mitigación incluyó cierre de accesos y auditoría interna.
- Empresas deben fortalecer la formación en vishing, revisar permisos de apps conectadas y aplicar políticas de acceso restringido a herramientas como Data Loader.
Conclusión: la alerta está servida
- Google confirma que ShinyHunters infiltró su instancia de Salesforce y robó datos limitados pero sensibles.
- La técnica usada fue vishing y app fraudulenta, no explotación técnica del CRM.
- El caso subraya la importancia de reforzar seguridad humana y tecnológica en entornos de datos corporativos basados en la nube.
