“Nada confidencial se filtró”, asegura Google, mientras ShinyHunters comprime tu negocio en un ZIP con sonrisa burlona

Google ha reconocido oficialmente que hackers obtuvieron acceso no autorizado a una de sus bases corporativas en Salesforce y copiaron información relacionada con clientes del segmento de pequeñas y medianas empresas. Así lo indica la versión actualizada del informe de junio de Google Threat Intelligence, donde se confirma que el sistema comprometido almacenaba datos de contacto y notas de trabajo asociadas a dichos clientes. El robo ocurrió en junio y, según los analistas, los atacantes lograron extraer los datos en un corto periodo de tiempo antes de que se bloqueara el acceso.

Google atribuye la responsabilidad del ataque al grupo UNC6040, vinculado con la conocida organización de ransomware ShinyHunters. Esta agrupación estaría detrás de una serie de ataques dirigidos contra usuarios de Salesforce, incluyendo incidentes de alto perfil relacionados con Dior, Chanel, Pandora y, presuntamente, Allianz. Según el informe, el acceso inicial probablemente se obtuvo mediante vishing u otras técnicas de ingeniería social dirigidas a empleados para penetrar en los sistemas CRM.

Curiosamente, Cisco también resultó afectada en la misma ola de ataques. Representantes de la compañía informaron que uno de sus empleados fue víctima de phishing por voz, lo que permitió a los atacantes acceder a una plataforma de gestión de relaciones con clientes en la nube. Aunque Cisco no confirmó que se tratara de Salesforce, la base comprometida contenía principalmente datos básicos de perfiles registrados en Cisco.com. La empresa aseguró que contraseñas y datos confidenciales no se vieron comprometidos.

Google recalcó que la información robada consistía mayormente en datos comerciales públicos, como nombres de empresas y contactos. Sin embargo, evitó pronunciarse sobre posibles intentos de extorsión o exigencias de rescate por parte de los atacantes.

Aun así, los analistas de Google no descartan que ShinyHunters adopte tácticas de presión más agresivas. Al parecer, el grupo estaría preparando su propio sitio web para publicar la información filtrada, lo cual aumentaría el impacto psicológico y reputacional sobre las víctimas.

ShinyHunters lleva tiempo vinculado a incidentes de gran escala relacionados con el robo de bases de datos corporativas, como el ataque a la infraestructura de Snowflake el año pasado, que comprometió a decenas de clientes. Según Google, la actividad actual del grupo revela una ampliación de sus operaciones y una mejora significativa en sus métodos de ingeniería social enfocados en el sector empresarial.

El equipo de Google Threat Intelligence prometió seguir monitorizando a UNC6040 y proporcionar actualizaciones conforme evolucione la situación.