¿Todavía temes al phishing en tu correo? Bienvenido a la era del vishing: ahora simplemente te llaman

Los hackers del grupo UNC6040, rastreado por Google Threat Intelligence Group, han sido detectados en una serie de ataques dirigidos contra clientes corporativos de Salesforce. Su técnica principal es el phishing por voz, o vishing: mediante una llamada telefónica convencen a los empleados para que instalen una versión falsa de la herramienta legítima Data Loader, diseñada para la carga masiva de datos en el sistema Salesforce.

El esquema de ataque se basa en ingeniería social: llaman a la víctima y le piden que visite un supuesto sitio oficial para conectar aplicaciones de Salesforce. Allí está alojada una aplicación maliciosa que se hace pasar por Data Loader. Si el empleado aprueba la instalación, los atacantes obtienen acceso directo al entorno de Salesforce, con capacidad para ejecutar consultas, extraer datos sensibles y ampliar el control sobre la infraestructura.

El acceso obtenido mediante este método a menudo abre el camino hacia redes corporativas internas y otros servicios en la nube de la organización. Como subraya el equipo de Mandiant (una división de Google), UNC6040 es un grupo motivado financieramente que se especializa en comprometer cuentas de Salesforce con el objetivo de realizar robos masivos de datos.

La infraestructura técnica de UNC6040, según los investigadores, muestra similitudes con el ecosistema cibercriminal descentralizado The Com, compuesto por pequeños grupos débilmente conectados entre sí.

Según datos de Google, en los últimos meses UNC6040 atacó a unas 20 organizaciones. En varios casos, los atacantes lograron efectivamente extraer datos. Una de las víctimas fue Coca-Cola Europacific Partners, uno de los mayores distribuidores de Coca-Cola en el Reino Unido. Los hackers robaron 64 GB de datos. No obstante, se presume que no hubo una intrusión directa en la infraestructura de TI de Coca-Cola.

Salesforce ya había publicado en marzo de 2025 una advertencia sobre posibles ataques. Los representantes subrayaron que la amenaza descrita no está relacionada con vulnerabilidades en la plataforma. Según ellos, los ataques se basan exclusivamente en ingeniería social y en la falta de alfabetización digital de algunos empleados. Amenazas como estas a la seguridad en la nube requieren un enfoque integral para proteger los sistemas corporativos.

La empresa se negó a revelar la cantidad exacta de clientes afectados, pero afirmó que se trata solo de un número reducido de casos y que el incidente no tiene carácter generalizado.