Ataques a Salesforce: Hackers Atacan Cuentas con Ingeniería Social
Adriana Aguilar 06/04/2025 Ciberseguridad, Ciberataque
3 Minutos

Google ha detectado que un grupo de hackers, que se hacen pasar por los conocidos extorsionadores ShinyHunters, está lanzando ataques de ingeniería social contra grandes empresas multinacionales para robar datos directamente desde sus cuentas de Salesforce.

Según el equipo de inteligencia de amenazas de Google (GTIG), que sigue de cerca a este grupo bajo el nombre de UNC6040, los ataques van dirigidos principalmente a trabajadores que hablan inglés. ¿Cómo lo hacen? A través de llamadas de phishing de voz (también conocido como vishing), en las que intentan convencer a la víctima de que instale una versión alterada de la app Data Loader de Salesforce.

En estas llamadas, los atacantes se hacen pasar por personal del soporte técnico interno. Con tono convincente, le piden al trabajador que se conecte al Salesforce Data Loader, que es una herramienta legítima que normalmente se usa para importar, exportar, actualizar o eliminar datos dentro del entorno de Salesforce.

¿El truco? Esa app manipulada que le hacen instalar está bajo el control de los hackers. Como explican los investigadores, esta aplicación utiliza OAuth, un protocolo que permite integrar otras aplicaciones mediante lo que se llama "aplicaciones conectadas" dentro de Salesforce.

Los atacantes aprovechan esto para guiar a la víctima, por teléfono, hasta la página de configuración de conexión de Salesforce. Luego, le piden que introduzca un "código de conexión". Con eso, logran vincular su versión modificada del Data Loader al entorno real de Salesforce del empleado… y listo: acceso completo.

 

salesforce

Solicitud para ingresar el código de conexión (Fuente: Google)

 

Cómo los atacantes aprovechan Salesforce para infiltrarse en otras plataformas empresariales

 

Las empresas que fueron blanco de estos ataques ya usaban Salesforce como su plataforma de CRM (gestión de relaciones con clientes), así que cuando alguien del "soporte técnico" les pide que instalen una herramienta como Data Loader, no les suena raro. De hecho, encaja perfectamente en el flujo de trabajo del día a día. Y ahí está el problema: parece algo completamente legítimo.

En estos casos, el grupo UNC6040 usa esa app manipulada para extraer los datos que están guardados en la cuenta de Salesforce de la empresa. Pero no se quedan ahí. Una vez dentro, aprovechan ese acceso inicial para moverse lateralmente y entrar en otras plataformas que están conectadas, como Okta, Microsoft 365 o Workplace.

¿Por qué hacen esto? Porque esas otras plataformas también contienen un montón de información sensible: correos internos, documentos importantes, tokens de acceso, archivos compartidos... básicamente todo lo necesario para causar más daño, o extorsionar a la empresa con aún más peso.

El informe de Google lo resume así: "UNC6040 es un grupo motivado por dinero que logra meterse en las redes de sus víctimas usando llamadas de phishing con ingeniería social."

Y una vez que consiguen acceso, no pierden el tiempo. Usan de inmediato la herramienta Data Loader para robar datos directamente desde Salesforce. Después, van saltando a otras partes de la red, como si fuera un efecto dominó, extrayendo aún más información desde plataformas como Okta, Workplace y Microsoft 365.

 

attack-path-1

Descripción general del ataque UNC6040

 

Los hackers no solo son astutos, también son pacientes (y hasta experimentan)

 

En algunos casos, los intentos de robar datos no llegaron muy lejos. ¿La razón? Los sistemas de seguridad hicieron bien su trabajo y detectaron actividad rara, revocando el acceso antes de que el daño fuera mayor. Pero los atacantes no se quedaron de brazos cruzados: sabían que esto podía pasar y comenzaron a probar distintos tamaños de paquetes de datos, probablemente para ver qué tanto podían sacar antes de levantar sospechas.

Además, el grupo UNC6040 no se limitó a usar cualquier versión del Salesforce Data Loader. Le cambiaron el nombre para que pareciera algo completamente inofensivo. ¿Un ejemplo? Lo bautizaron como “Mi Portal de Tickets”, lo que sonaría perfectamente legítimo si te lo mencionan en una llamada de "soporte técnico". Así fue como convencieron a más de una víctima para instalar la aplicación manipulada.

Según el informe de Google, mientras estaban filtrando datos desde Salesforce, los hackers usaban VPNs de Mullvad, una red privada que les ayudaba a esconder su ubicación real y camuflar la actividad maliciosa.

Pero no termina ahí: también crearon páginas de phishing que imitaban el portal de inicio de sesión de Okta, y las conectaban con actores que usan tácticas propias de los grupos “The Com” o Scattered Spider. Si todo esto te suena complejo… es porque lo es. Estos atacantes son organizados, meticulosos y, sobre todo, peligrosos.

 

Podría interesarte leer: Ingeniería social + Experiencia de Usuario: La Fórmula de los Hackers

 

¿Quién está detrás de todo esto? Los ShinyHunters, o eso dicen...

 

Los atacantes que Google ha estado observando dicen formar parte del famoso grupo de hackers ShinyHunters, conocido por robar datos y pedir rescates millonarios para no filtrarlos públicamente.

Y aunque los primeros movimientos fueron realizados por UNC6040, lo curioso es que en varios casos la extorsión no llegó sino hasta meses después del ataque inicial. Esto sugiere que puede haber otro actor involucrado, alguien que se encarga específicamente de monetizar la información robada.

Cuando finalmente llega la amenaza de publicar los datos, los hackers dicen ser parte de ShinyHunters, probablemente para meter más miedo y presionar a las empresas a pagar. No es una estrategia nueva, pero sí efectiva: ShinyHunters ha estado detrás de violaciones de datos muy sonadas, incluyendo el caso de Snowflake y el hackeo a PowerSchool, que afectó a más de 62 millones de estudiantes.

 

Recomendaciones clave si usas Salesforce

 

Google no se quedó solo en la advertencia: también compartió algunas medidas de seguridad súper útiles para las empresas que usan Salesforce, como:

 

  1. Restringir el permiso de "API habilitada" para evitar que se conecten aplicaciones no autorizadas.

  2. Limitar quién puede instalar nuevas apps dentro del entorno de Salesforce.

  3. Bloquear el acceso desde VPN comerciales como Mullvad, ya que pueden usarse para ocultar accesos maliciosos.

Tag:

Ciberseguridad Ciberataque

Microsoft y CrowdStrike Crean una “Biblia” de la Ciberdelincuencia

Artículo Anterior
  • No hay sugerencias porque el campo de búsqueda está vacío.

Categorías

Artículos más leídos

Gustavo Sánchez 05/23/2023 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje
Descubriendo los canales en Telegram de la Dark Web
Alexander Chapellin 02/26/2025 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje, Malware, Ciberataque
10 Principales Grupos y Canales de Telegram en la Dark Web
Gustavo Sánchez 04/01/2024 Microsoft Office 365, Microsoft, CoPilot
Guía para Activar y Usar Copilot en Word Eficazmente
Alexander Chapellin 03/27/2024 Ciberseguridad, Riesgos informaticos
Top 5 de Foros Rusos en la Dark Web

Artículos Relacionados

Ciberseguridad, Riesgos informaticos, Malware, Ciberataque
Zoilijee Quero 06/03/2025

Sitios Falsos de DocuSign y GitCode Utilizados para Propagar Malware

Expertos en ciberseguridad están encendiendo las alarmas sobre una nueva campaña maliciosa que está

Leer más
Ciberseguridad, Riesgos informaticos, Malware, Ciberataque
Adan Cuevas 06/03/2025

Malware Crocodrilus Crea Contactos Falsos para Engañar por Teléfono

La nueva versión del malware para Android Crocodilus viene con una táctica bastante astuta: ahora

Leer más
Ciberseguridad, Malware, Ciberataque
Alexander Chapellin 06/02/2025

EddieStealer: Nuevo Malware que Roba Datos del Navegador de Chrome

Una nueva campaña de malware anda suelta, y esta vez trae consigo a eddiestealer, un ladrón de

Leer más
Bottom Banner

Reduce los costos de TI y eleva la productividad de tu empresa con TecnetOne

Si te interesa implementar soluciones en la nube en tu empresa, te invitamos a que nos contactes.

Quiero saber más