Google confirmó que fue víctima de un incidente de seguridad en uno de sus entornos internos de Salesforce, utilizado para gestionar datos de clientes de ads (pequeñas y medianas empresas). Los atacantes, identificados como el grupo UNC6040 (también conocido como ShinyHunters), lograron acceder, robar información y luego lanzaron amenazas de extorsión.
Detalles técnicos del incidente
- La brecha ocurrió en junio de 2025 en una instancia que almacenaba datos como nombres de empresas, números de teléfono y notas relacionadas con clientes potenciales. Google actuó rápidamente para contenerla.
- El grupo usó técnicas de ingeniería social, específicamente vishing (phishing por voz), para engañar a empleados y que autorizasen una app maliciosa dentro de Salesforce, similar al comercial Data Loader. Tras aprobarla, los atacantes pudieron extraer datos sin ser detectados.
- Posteriormente, la misma organización (o un grupo aliado identificado como UNC6240) comenzó a efectuar extorsiones, exigiendo pagos bajo la amenaza de publicar los datos robados.
¿Por qué es relevante?
- Ingeniería social en infraestructuras críticas: No fue un fallo técnico, sino una manipulación de empleados para ganar acceso.
- Vishing como vector efectivo: Una llamada telefónica fue suficiente para abrir una puerta peligrosa.
- Alta exposición de datos empresariales: Aunque los datos no eran financieros, contienen información útil para planear engaños dirigidos o futuros ataques.
- Extorsión como siguiente fase del ataque: La combinación de robo y chantaje es una tendencia preocupante en ataques empresariales sofisticados.
Recomendaciones
- Nunca aprobar aplicaciones sin validación previa por el equipo de TI o seguridad.
- Mantener una lista blanca de apps aprobadas y bloquear la instalación de cualquier otra.
- Incluir simulacros de vishing en los programas de concienciación.
- Enseñar a los empleados a verificar la identidad de quien llama antes de seguir instrucciones.
