Grupo de hackers lanza sitio en la dark web tras robar mil millones de registros desde bases de datos asociadas a Salesforce
Un grupo de ciberdelincuentes que ha operado bajo distintos nombres, incluidos Lapsus$, Scattered Spider y ShinyHunters, lanzó una plataforma en la dark web para extorsionar a empresas afectadas por un robo masivo de datos. Según investigadores de ciberseguridad, los atacantes aseguran haber sustraído aproximadamente mil millones de registros de bases de datos en la nube asociadas con clientes de Salesforce.
El sitio, titulado Scattered LAPSUS$ Hunters, fue detectado el viernes pasado y actúa como un canal de presión para que las compañías paguen un rescate a cambio de evitar la divulgación pública de la información robada. En dicho portal, se insta a los afectados a establecer contacto para recuperar el control sobre el manejo de sus datos y evitar que la información sea publicada. Además, se advierte que todas las comunicaciones deberán ser verificadas y se manejarán con discreción.
En las últimas semanas, el grupo habría accedido a sistemas de compañías destacadas mediante vulneraciones a bases de datos alojadas en entornos vinculados a Salesforce. Entre las empresas que confirmaron afectaciones se encuentran Allianz Life, Google, Kering, Qantas, Stellantis, TransUnion y Workday.
El portal de los hackers también enumera a otras presuntas víctimas, como FedEx, Hulu y Toyota Motors, aunque estas entidades no emitieron declaraciones hasta el momento. Por su parte, representantes de ShinyHunters indicaron que existen muchas otras compañías que aún no han sido incluidas en la lista, sin precisar los motivos.
En la parte superior del sitio, los ciberdelincuentes demandan una negociación directa con Salesforce y amenazan con filtrar datos de clientes si no se inicia el diálogo. La empresa, mediante su vocera Nicole Aranda, indicó que están al tanto de los intentos de extorsión y que estos parecen estar relacionados con incidentes pasados o sin fundamento comprobado. Añadió que mantienen comunicación con los clientes afectados para brindar apoyo, y afirmó que, hasta ahora, no existen indicios de que la plataforma de Salesforce haya sido comprometida ni que esta actividad esté vinculada a alguna vulnerabilidad conocida en su tecnología.
Aranda declinó hacer más comentarios. Hasta el momento, no hay indicios confirmados de que los sistemas de Salesforce hayan sido vulnerados directamente, y las investigaciones se centran en posibles brechas de seguridad en el manejo de datos por parte de sus clientes.
El desarrollo de este tipo de sitios para filtraciones públicas de datos marca una evolución en las estrategias de grupos cibercriminales, que antes operaban de forma privada mediante encriptación de datos y ahora recurren a la exposición pública como forma principal de presión.