En la primera mitad de 2025, una campaña de ciberataques altamente coordinada puso en jaque a decenas de empresas que usan Salesforce, entre ellas gigantes de la tecnología, moda, aviación y seguros. Los atacantes afirman haber comprometido datos de 91 organizaciones a nivel global. Entre las víctimas figuran nombres como Adidas, Cartier, Google, Louis Vuitton, Dior, Chanel, Tiffany & Co., Qantas Airways, Air France–KLM, Allianz Life, Cisco y Pandora.
En TecnetOne, seguimos muy de cerca este tipo de incidentes porque dejan en claro una verdad incómoda: no siempre es necesario explotar una vulnerabilidad técnica para robar datos. En este caso, todo el ataque se basó en ingeniería social, no en fallos en la infraestructura de Salesforce.
Cómo ocurrió el robo de datos en Salesforce
Según el Google Threat Intelligence Group (GTIG), los atacantes combinaron llamadas de vishing (phishing por voz) con el abuso de la función Connected Apps de Salesforce. Fingiendo ser personal de soporte de TI, llamaban a empleados y les pedían seguir pasos “urgentes” para resolver supuestos problemas.
En esas llamadas, la víctima era dirigida a la página de autorización de Connected Apps y debía ingresar un código de 8 dígitos. Sin saberlo, estaba autorizando una aplicación maliciosa controlada por los atacantes, muchas veces disfrazada como una versión legítima del Data Loader de Salesforce o con nombres falsos como “My Ticket Portal”.
Una vez concedidos los permisos, los ciberdelincuentes obtenían acceso API al entorno de Salesforce y podían extraer datos masivos: perfiles de clientes, listas de contactos, información de programas de fidelización y datos internos. En algunos casos, incluso usaron estas credenciales para infiltrarse en Office 365 y otras plataformas en la nube.
Secuencia de ataque para el Cargador de Datos (Fuente: Grupo de Inteligencia de Amenazas de Google)
Estrategia de extorsión
El grupo, identificado como UNC6040 y relacionado con el alias ShinyHunters, usó un canal de Telegram llamado Scattered Lapsu$ Hunters para publicar fragmentos de datos robados y presionar a las empresas. Estos “adelantos” funcionan como una advertencia pública: si no se paga el rescate, el resto de la información será filtrada o vendida.
En agosto, el grupo intensificó su actividad publicando capturas de negociaciones con víctimas y sumando más presión.
También podría interesarte: Chanel y Pandora: Nuevos Objetivos de Ciberataques
El caso de Google
Google confirmó que uno de sus entornos de Salesforce CRM fue comprometido, afectando a clientes potenciales de Google Ads. Los datos expuestos incluían nombres de empresa, teléfonos y notas internas, pero no información de pago ni datos de cuentas de Ads.
ShinyHunters afirma que la base robada contenía 2,55 millones de registros (posiblemente con duplicados) y que trabajaron junto a otro grupo, Scattered Spider, para obtener acceso inicial. Juntos se hacen llamar ahora “Sp1d3rHunters”.
Según reportes, el grupo envió a Google una “demanda” de 20 Bitcoins (unos 2,3 millones de dólares), aunque luego afirmaron que solo fue “por diversión” y que no tenían intención real de negociar. Más allá de la veracidad de esa afirmación, sí confirmaron que han adoptado herramientas personalizadas —incluyendo scripts en Python— para extraer datos más rápido de Salesforce, en lugar de depender del Data Loader.
Establecer una conexión con el Data Loader controlado por el actor de amenazas requiere que la víctima ingrese un código de autenticación. (Fuente: Grupo de Inteligencia de Amenazas de Google)
Lecciones clave para tu seguridad
En TecnetOne, siempre insistimos en que la ingeniería social es una de las amenazas más peligrosas, porque explota el eslabón más vulnerable: las personas. Este caso lo demuestra con claridad.
Recomendaciones para protegerte:
- Verifica siempre la identidad de quien te contacte, incluso si parece ser del soporte interno.
- Nunca ingreses códigos o claves en páginas o aplicaciones sin confirmar con tu equipo de TI.
- Configura restricciones estrictas para apps conectadas en Salesforce y revisa los permisos regularmente.
- Capacita al personal para reconocer intentos de vishing y phishing.
- Monitorea accesos y API calls para detectar comportamientos inusuales antes de que se produzca una extracción masiva de datos.
