Por Mid 
Incidente de Seguridad de Google Relacionado con Salesforce
Tiempo estimado de lectura: 5 minutos | Dificultad técnica: Media
Conclusiones clave
- Google enfrentó un ataque a su instancia de Salesforce, comprometiendo datos de PYMES.
- Los grupos cibercriminales, como ShinyHunters, utilizan ingeniería social para acceder a datos sensibles.
- Recomendaciones para mitigar riesgos incluyen autenticación multifactor y capacitación en ciberseguridad.
- Al menos 20 entidades han sido afectadas, incluyendo grandes empresas como Adidas y Cisco.
Índice
- Incidente de seguridad en Google
- Técnicas utilizadas en los ataques
- Perfiles de los grupos cibercriminales
- Impacto de los incidentes y recomendaciones
Incidente de seguridad en Google
Google ha confirmado haber sido víctima de un incidente de seguridad ocurrido en junio de este año, que forma parte de una serie de ataques dirigidos a organizaciones que utilizan la plataforma Salesforce para la gestión de relaciones con clientes (CRM). El objetivo de estos ataques es exfiltrar información que posteriormente se utiliza para extorsionar o pedir rescates. Se sospecha que detrás de esta campaña operan diversos grupos de cibercriminales.
La compañía informó que el ataque comprometió una de sus instancias corporativas de Salesforce, diseñada para almacenar datos de contacto y notas vinculadas a pequeñas y medianas empresas (PYMES). Aunque la intrusión se detectó y se bloqueó en un corto lapso de tiempo, los atacantes lograron realizar una exfiltración de datos. Google enfatizó que la información robada consistía principalmente en nombres de empresas y datos de contacto, que en su mayoría son accesibles públicamente.
Técnicas utilizadas en los ataques
El Grupo de Inteligencia de Amenazas de Google (GTIG) ha rastreado actividades iniciales bajo la etiqueta UNC6040, las cuales involucran técnicas de vishing (estafas telefónicas) y uso de ingeniería social. Este conjunto de actividades se alinea con tácticas empleadas por un colectivo cibercriminal conocido como The Com. Posteriormente, el GTIG identificó actividad bajo el nombre UNC6240, que habría sido atribuida al reconocido grupo de hackers ShinyHunters, este último responsable de realizar las extorsiones.
La conexión entre UNC6040 y grupos asociados a The Com radica en el robo de credenciales de Okta y la implementación de ingeniería social a través de soporte técnico. Esta estrategia ha sido adoptada por Scattered Spider, otro grupo de amenazas que opera con motivaciones económicas dentro de esta estructura de cibercriminalidad organizada.
Las investigaciones han revelado que los actores de amenazas a menudo se hacen pasar por personal de soporte técnico, con el fin de persuadir a los empleados a llevar a cabo acciones que les proporcione acceso o les permita compartir información crucial, como credenciales, lo que facilitaría el robo de datos. En diversas situaciones, los atacantes intentan convencer a las víctimas de instalar versiones modificadas de la herramienta Salesforce Data Loader, lo que les permite vincular aplicaciones maliciosas y extraer datos. Este método no explota debilidades en la infraestructura de Salesforce, sino que se basa en manipular a los usuarios para conseguir credenciales o acceso legítimo.
Perfiles de los grupos cibercriminales
Tanto Google como expertos en ciberseguridad han alertado que, en algunos incidentes, los delincuentes han tratado de acceder a otros servicios corporativos como Okta, Workplace o Microsoft 365 después de la primer intrusión. El grupo ShinyHunters estaría empleando la información exfiltrada para extorsionar a las empresas afectadas, exigiendo pagos en criptomonedas a cambio de no publicar los datos. Además, el grupo ha advertido que, tras concluir estas extorsiones directas, planean vender o liberar la información en foros clandestinos en internet. En un caso confirmado, una empresa habría pagado 4 bitcoins (cerca de 400,000 dólares) para evitar que la información robada fuera divulgada.
Google no ha detallado si recibió demandas de rescate, aunque sí admitió que su situación es parte de la misma campaña que ya ha afectado a aproximadamente 20 entidades en sectores como la hostelería, comercio minorista, educación y otros, tanto en América como en Europa. Entre las firmas afectadas se encuentran Adidas, Qantas, Allianz Life, Cisco y marcas del grupo LVMH como Louis Vuitton, Dior y Tiffany & Co.
Impacto de los incidentes y recomendaciones
Los expertos en ciberseguridad recomiendan a las organizaciones implementar autenticación multifactor en todas las cuentas con acceso a Salesforce; restringir el acceso únicamente al personal necesario; realizar supervisiones y auditorías periódicas de las aplicaciones conectadas; y capacitar a los empleados para reconocer intentos de vishing e ingeniería social. Este incidente subraya que incluso grandes corporaciones tecnológicas pueden ser susceptibles a ataques bien planificados que combinan manipulación de personas con técnicas de intrusión avanzada.