Google ha confirmado que se encuentra entre las empresas afectadas por una campaña activa de robo de datos que explota vulnerabilidades en instancias de Salesforce, aumentando las preocupaciones sobre la seguridad en plataformas CRM ampliamente utilizadas.

En una actualización publicada el 5 de agosto, Google indicó que actores maliciosos accedieron a datos almacenados en una de sus instancias de Salesforce. No obstante, la compañía aclaró que la información robada era en su mayoría pública, como nombres de empresas y datos de contacto relacionados con pequeñas y medianas empresas.

Este ataque ha sido atribuido al grupo ShinyHunters, conocido por su motivación financiera y por utilizar técnicas de vishing (phishing por voz). El equipo de inteligencia de amenazas de Google (GTIG, por sus siglas en inglés) rastrea esta operación bajo los nombres UNC6040 y UNC6240.

Aumento de ataques de vishing en Salesforce

ShinyHunters es conocido por ejecutar campañas de vishing diseñadas para engañar a los empleados y obtener sus credenciales de acceso y códigos de autenticación multifactor (MFA). Una vez que acceden al sistema, exfiltran grandes cantidades de datos para luego extorsionar a las organizaciones afectadas.

Google señaló que la instancia comprometida almacenaba contactos y notas internas de clientes, y que ya ha tomado medidas para mitigar el impacto del incidente.

Expertos en seguridad advierten que esta situación podría escalar.

Posible escalada: amenaza de un sitio de filtración de datos

El equipo de inteligencia de amenazas de Google también alertó que ShinyHunters podría estar preparando el lanzamiento de un sitio público para filtrar datos, intensificando así su estrategia de extorsión. Actualmente, el grupo se comunica con empleados de las organizaciones atacadas por teléfono o correo electrónico, exigiendo pagos en Bitcoin en un plazo de 72 horas.

El lanzamiento de un sitio de filtraciones aumentaría la presión sobre las empresas, especialmente aquellas afectadas recientemente por brechas en Salesforce.

Otras empresas también podrían estar comprometidas

Según William Wright, CEO de Closed Door Security, “ShinyHunters ha ejecutado una gran cantidad de ataques a través de Salesforce y es crucial que las organizaciones presten atención. Además, los atacantes afirman que muchos incidentes aún no han sido reportados, por lo que podríamos ver más víctimas en las próximas semanas”.

Empresas como Chanel y Pandora ya han confirmado filtraciones de datos de clientes vinculadas a actividades de ShinyHunters a inicios de agosto de 2025.

Otras compañías que podrían haber sido afectadas de manera similar incluyen a Allianz Life, Adidas, Qantas y diversas marcas del grupo LVMH.

Conclusión

Este caso subraya la importancia de proteger adecuadamente las plataformas de terceros como Salesforce. Las empresas deben reforzar los controles de acceso, invertir en capacitación contra phishing y vishing, y mantener una vigilancia constante sobre la seguridad y el cumplimiento normativo de sus sistemas—en especial aquellos que contienen datos confidenciales de clientes.

Fuente: https://www.infosecurity-magazine.com/news/google-salesforce-data-theft