Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Google Sufre Ataque por Salesforce: Brecha de Datos y Extorsión

Escrito por Zoilijee Quero | Aug 7, 2025 2:15:00 PM

Nosotros sabemos lo importante que es proteger la información de tus clientes. Y cuando una empresa como Google confirma que también fue víctima de una brecha de seguridad por el robo de datos en Salesforce, hay que prestarle atención.

Lo que parecía una campaña dirigida a unas pocas organizaciones se ha convertido en una ola de ataques activos encabezada por un conocido grupo de extorsión llamado ShinyHunters. ¿Su objetivo? Acceder a instancias de Salesforce para robar datos de clientes y exigir rescates. Y sí, los ataques siguen ocurriendo.

 

¿Qué pasó exactamente con Google?

 

En junio, Google advirtió que un grupo de atacantes, al que clasificó como UNC6040, estaba utilizando tácticas de ingeniería social por voz (vishing) para engañar a empleados y acceder a instancias de Salesforce. Su objetivo: descargar información de clientes y luego extorsionar a las empresas amenazando con hacer públicos esos datos si no se paga un rescate.

Y ahora sabemos que ellos también fueron víctimas.

 

"En junio, una de las instancias corporativas de Salesforce de Google fue comprometida por actividades similares a las descritas", informó la compañía.

 

La instancia comprometida almacenaba información de contacto y notas relacionadas con pequeñas y medianas empresas. Aunque Google asegura que el acceso fue limitado y detectado rápidamente, los atacantes lograron extraer datos durante una pequeña ventana de tiempo.

 

¿Qué tipo de información fue robada?

 

Según el comunicado de Google, la información sustraída corresponde principalmente a datos básicos y mayormente públicos, como nombres comerciales y datos de contacto.

Sin embargo, aunque no se trata de credenciales ni datos financieros, el hecho de que estos datos provengan de Salesforce los hace valiosos, ya que podrían estar asociados a clientes reales y a relaciones comerciales estratégicas.

En otras palabras: con suficiente volumen y contexto, hasta los datos más básicos pueden volverse peligrosos si caen en manos equivocadas.

 

¿Quién está detrás de estos ataques?

 

Aunque Google utiliza el nombre técnico UNC6040 (o UNC6240) para referirse a los atacantes, otros expertos, afirman que el grupo detrás de esta campaña es nada menos que ShinyHunters.

Este grupo es bien conocido en el mundo de la ciberseguridad por estar vinculado a una larga lista de brechas anteriores, incluyendo:

 

  1. AT&T

 

  1. Wattpad

 

  1. MathWay

 

  1. Oracle Cloud

 

  1. PowerSchool

 

  1. NitroPDF

 

  1. Y más recientemente, los ataques de robo masivo de datos en Snowflake.

 

ShinyHunters no solo roba la información: también la utiliza para chantajear a las empresas. Si no se paga el rescate, la filtran o la venden en foros de hackers.

 

Lee más: Ciberataque Impacta a Google, Amazon y Cloudflare

 

¿A quién más han atacado?

 

Además de Google, otras empresas importantes han sido afectadas por esta misma campaña, incluyendo:

 

  1. Adidas

 

  1. Qantas

 

  1. Allianz Life

 

  1. Cisco

 

  1. Louis Vuitton, Dior y Tiffany & Co. (todas subsidiarias de LVMH)

 

En al menos un caso documentado, una empresa decidió pagar 4 Bitcoins (aproximadamente 400.000 USD) para evitar que sus datos fueran expuestos.

Esto indica que los atacantes no se limitan a una industria en particular, y que están explotando Salesforce como una vía común de entrada a grandes volúmenes de datos.

 

¿Por qué Salesforce es el objetivo?

 

Salesforce es una plataforma de CRM utilizada por millones de empresas en todo el mundo para gestionar relaciones con clientes. Y como podrás imaginar, concentra una gran cantidad de datos valiosos, como:

 

  1. Información de contacto

 

  1. Historiales de comunicación

 

  1. Detalles de contratos o negociaciones

 

  1. Notas internas del equipo de ventas

 

Si un atacante consigue acceso, incluso parcial, a esa base de datos, tiene suficiente información como para hacer daño serio: extorsión, suplantación de identidad, ingeniería social, filtración de datos sensibles…

 

¿Cómo acceden los atacantes a Salesforce?

 

No se trata de un hackeo técnico tradicional, sino de una estrategia de ingeniería social cuidadosamente planificada.

 

  1. El atacante llama por teléfono a un empleado (vishing), simulando ser parte del equipo técnico o de soporte.

 

  1. Le convence de entregar sus credenciales o permitir acceso a la cuenta de Salesforce.

 

  1. Una vez dentro, descarga todos los datos posibles y desaparece.

 

  1. Luego comienza la extorsión por email: "paga o publicamos tus datos".

 

En muchos casos, las víctimas ni siquiera se dan cuenta de que han sido engañadas, hasta que ya es demasiado tarde.

 

Conoce más: Google empieza a bloquear apps descargadas: Conoce cuáles

 

¿Qué debes hacer si tú o tu empresa usan Salesforce?

 

En TecnetOne trabajamos con múltiples empresas que utilizan Salesforce, y por eso te dejamos estas recomendaciones clave para evitar ser una víctima más de esta ola de ataques:

 

Activa la autenticación multifactor (MFA)

 

Es una capa adicional que puede impedir el acceso incluso si tus credenciales son comprometidas.

 

Forma a tus equipos para reconocer el vishing

 

Muchos ataques comienzan con una simple llamada telefónica. Enseña a tus colaboradores a desconfiar de llamadas inesperadas pidiendo acceso o credenciales.

 

Supervisa los accesos a tu instancia de Salesforce

 

Activa alertas para detectar comportamientos inusuales, como accesos desde ubicaciones o dispositivos desconocidos.

 

Limita los permisos por rol

 

No todos los usuarios necesitan acceso a toda la información. Aplicar el principio de menor privilegio puede ayudarte a contener los daños si algo sale mal.

 

Realiza auditorías periódicas

 

Verifica quién accede, cuándo y para qué. Revisa qué datos se están exportando o descargando desde la plataforma.

 

Conclusión: la amenaza es real, pero puedes anticiparte

 

El caso de Google demuestra que ni las empresas más grandes están a salvo de campañas bien ejecutadas. ShinyHunters está aprovechando algo tan básico como una llamada telefónica para infiltrarse en entornos críticos como Salesforce.

Y si Google, Adidas o Cisco pueden caer, cualquier otra organización también está en riesgo.

Aquí, estamos preparados para ayudarte a:

 

  1. Fortalecer tu seguridad en Salesforce y otros CRMs.

 

  1. Capacitar a tu equipo contra ingeniería social y vishing.

 

  1. Implementar soluciones de monitoreo y respuesta ante incidentes.

 

No esperes a que un atacante ponga a prueba tus defensas. Hoy es el momento de revisar, reforzar y proteger.

 
Ver post completo