Google descubre una nueva estafa, siendo víctima de ella

La compañía Google confirmó que fue víctima de la misma campaña de estafa que en junio había advertido estaba afectando masivamente a clientes de Salesforce. El incidente ocurrió ese mismo mes, pero la compañía lo dio a conocer hasta el martes. Según la información oficial, los atacantes lograron acceder a su instancia de Salesforce mediante una estrategia de suplantación de identidad.

Esta campaña, atribuida inicialmente a un grupo identificado como UNC6040, no se basó en vulnerabilidades técnicas complejas, sino en llamadas telefónicas directas a empleados. Los delincuentes se hicieron pasar por personal de TI, alegaron problemas urgentes y solicitaron acceso inmediato. Entre las empresas afectadas figuran Adidas, Qantas, Allianz Life, Cisco y filiales de LVMH, como Louis Vuitton, Dior y Tiffany & Co, de acuerdo con Bleeping Computer.

Los atacantes aprovecharon una función legítima de Salesforce que permite conectar cuentas con aplicaciones externas. Durante la llamada, solicitaban al empleado vincular una aplicación y proporcionar un código de seguridad de ocho dígitos exigido por la plataforma. Con esa información, accedían a la instancia y a todos sus datos, que posteriormente buscaban revender a precios elevados a las propias víctimas. Esta técnica, conocida como "vishing" o estafa por voz, demostró una efectividad notable en distintos sectores y países.

Desde Google señalaron: "el análisis reveló que el actor de amenazas recuperó los datos durante un pequeño período de tiempo antes de que se cortara el acceso". La información comprometida incluía datos comerciales como nombres y detalles de contacto, que, según la empresa, eran "en gran parte públicos".

La compañía indicó que otro grupo, UNC6042, conocido como ShinyHunters, participó en actividades de extorsión, incluso meses después de las intrusiones. "Además, creemos que los actores de amenazas que usan la marca 'ShinyHunters' podrían estar preparándose para intensificar sus tácticas de extorsión mediante el lanzamiento de un sitio de filtración de datos (DLS)", declaró Google.

El alcance de esta campaña despertó preocupación en la industria tecnológica y en el sector corporativo. Especialistas recomiendan que los clientes de Salesforce auditen sus instancias para detectar accesos externos no autorizados, refuercen sus sistemas con autenticación multifactor y capaciten de manera constante al personal para identificar intentos de fraude antes de que logren su objetivo. La detección temprana y la prevención son, según los expertos, las únicas barreras efectivas contra este tipo de ataques.