Netcrook Logo
👤 CIPHERWARDEN
🗓️ 18 Oct 2025   🗂️ Threats    

Golpe en la Dark Web: ShinyHunters Desata una Ola de Extorsión con Datos de Salesforce

Cibercriminales notorios amenazan con exponer datos sensibles de 39 grandes empresas en una nueva y descarada campaña de extorsión vinculada a brechas en Salesforce.

Datos Rápidos

  • ShinyHunters y sus aliados publicaron un sitio de filtraciones dirigido a 39 empresas con datos robados de Salesforce.
  • Las víctimas incluyen FedEx, Google, McDonald's, Chanel y Marriott, entre muchas otras marcas reconocidas.
  • Los atacantes usaron phishing y aplicaciones maliciosas OAuth para infiltrarse en cuentas de clientes de Salesforce.
  • El grupo de amenazas exige rescates tanto a las empresas como a Salesforce para evitar la exposición pública de los datos.
  • Salesforce niega que su plataforma haya sido comprometida y afirma que no se explotó ninguna vulnerabilidad conocida en el sistema.

El Manual de la Extorsión: Nuevas Tácticas, Caras Conocidas

Imagina despertar y descubrir que los secretos de tu empresa están alineados en una subasta digital, con una cuenta regresiva hacia su exposición pública. Esa es la realidad para 39 grandes organizaciones después de que los infames ShinyHunters, junto a Scattered Spider y Lapsus$ (autodenominados “Scattered Lapsus$ Hunters”), lanzaran un nuevo sitio de filtraciones. El sitio muestra muestras de datos robados de cuentas de Salesforce y lanza un ultimátum: paguen antes del 10 de octubre o enfrenten las consecuencias.

Esta no es la primera incursión de ShinyHunters en la extorsión de alto perfil. El grupo, ya conocido por brechas que han acaparado titulares en AT&T, PowerSchool y los recientes incidentes de Snowflake, ha evolucionado sus métodos. Al asociarse con otros cibercriminales, han potenciado su alcance, apuntando a marcas globales y aprovechando la ubicuidad de Salesforce en el mundo corporativo. Su estrategia es escalofriantemente simple: robar, amenazar y lucrar.

Cómo se Desarrolló el Ataque: Ganchos de Phishing y Trampas OAuth

La magia técnica detrás de la brecha se reduce a un truco de ingeniería social: phishing por voz, o “vishing”. Los atacantes llamaron a empleados de empresas objetivo, convenciéndolos de autorizar una aplicación maliciosa (a través de OAuth, un sistema que permite a las aplicaciones acceder a cuentas empresariales con permiso). Una vez dentro, los criminales extrajeron enormes bases de datos, incluyendo información personal sensible y credenciales internas. Algunos ataques incluso explotaron integraciones como el chat de IA Drift de Salesloft, permitiendo el robo de contraseñas y claves de servicios en la nube.

Salesforce, por su parte, insiste en que su plataforma principal sigue siendo segura y que las brechas explotaron errores del lado del cliente, no una falla en Salesforce en sí. Aun así, los atacantes afirman tener hasta mil millones de registros y han amenazado con filtrar aún más si Salesforce no paga un rescate general para proteger a todos sus clientes. El grupo incluso ha insinuado la posibilidad de demandas bajo el GDPR, esperando convertir el riesgo regulatorio en una herramienta de presión.

Extorsión a Gran Escala: Una Amenaza Creciente para el Mercado

Esta campaña refleja una tendencia preocupante: la extorsión de datos está evolucionando de incidentes aislados a operaciones en cadena. En 2023, grupos de ransomware y extorsión como Clop y LockBit acapararon titulares por filtraciones masivas, pero el ataque de ShinyHunters a Salesforce destaca por su escala y el calibre de sus víctimas. El ataque apunta no solo a empresas individuales, sino a la confianza en las plataformas SaaS que sustentan los negocios globales. Es un llamado de atención para que las organizaciones traten las integraciones de terceros y la capacitación de empleados como líneas críticas de defensa en seguridad.

Mientras se acerca la fecha límite del 10 de octubre, el mundo observa para ver quién cederá primero. ¿Cederán las empresas y Salesforce, o llamarán el farol y arriesgarán una exposición catastrófica de datos? Una cosa está clara: en esta nueva era del cibercrimen, el martillo del subastador es digital, pero las apuestas son demasiado reales.

Esta historia sigue en desarrollo mientras las empresas evalúan las consecuencias y las fuerzas del orden rodean a los culpables. El próximo movimiento podría marcar el tono de cómo evolucionará el negocio de la extorsión digital en los próximos años.

WIKICROOK

  • Grupo de Extorsión: Un grupo de extorsión es una organización cibercriminal que roba datos sensibles y exige pagos, a menudo en criptomonedas, para evitar su publicación o venta.
  • OAuth: OAuth es un protocolo que permite a los usuarios dar acceso a sus cuentas a aplicaciones sin compartir contraseñas, mejorando la seguridad pero también presentando ciertos riesgos.
  • Phishing/Vishing: El phishing utiliza correos electrónicos o sitios falsos para robar información, mientras que el vishing engaña a las personas por teléfono para obtener acceso a datos personales o financieros.
  • Sitio de Filtración de Datos: Un sitio de filtración de datos es una página web donde los cibercriminales publican datos robados para presionar a las víctimas o demostrar sus ataques, a menudo en casos de ransomware.
  • GDPR: El GDPR es una estricta ley de la UE y el Reino Unido que protege los datos personales, exigiendo a las empresas manejar la información de manera responsable o enfrentarse a fuertes multas.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news