Google confirmó que un grupo de ciberdelincuentes identificado como UNC6040, relacionado con el colectivo ShinyHunters, logró acceder en junio a una base corporativa alojada en Salesforce. Los atacantes se especializan en campañas de phishing de voz (vishing), mediante las cuales se hacen pasar por personal de soporte técnico para engañar a empleados de distintas empresas, obteniendo así acceso a sus credenciales en Salesforce; posteriormente, utilizan esa información para extorsionar a las víctimas.
Aunque los datos sustraídos por los ciberdelincuentes no incluyeron información sensible como contraseñas, sí se filtraron datos básicos sobre pequeñas y medianas empresas —como nombres comerciales, contactos y notas—, que en muchos casos ya eran accesibles públicamente. Esta brecha se produjo durante una ventana temporal breve, después de lo cual Google logró detener el acceso no autorizado.
A pesar de que los datos obtenidos no parecen sensibles por sí mismos, su uso malicioso se ha vuelto una preocupación creciente. Según informan medios como Android Headlines, aproximadamente 2.500 millones de direcciones de correo de usuarios de Gmail podrían estar en riesgo debido a que aparecen en estafas phishing. Estas campañas aprovechan la información robada para enviar correos fraudulentos que simulan provenir de Google, advirtiendo al usuario sobre brechas de seguridad o solicitando iniciar sesión para “validar” su cuenta.
La firma Google Threat Intelligence Group (GTIG) ha alertado que los ataques de este tipo podrían intensificarse. UNC6040 ha mostrado sofisticación en su modus operandi, utilizando VPNs como Mullvad y conexión mediante TOR, así como scripts personalizados que simulan la aplicación Data Loader de Salesforce para evadir la detección. Además, se teme que puedan lanzar un sitio de filtración de datos para aumentar la presión en futuras extorsiones.
Frente a estos riesgos, Google y expertos en ciberseguridad recomiendan varias medidas esenciales. Se destaca activar la autenticación multifactor (MFA), preferentemente con métodos resistentes a phishing como tokens físicos o passkeys; no reutilizar contraseñas y asegurar que tengan al menos 12 caracteres, mezclando mayúsculas, minúsculas, números y símbolos; y mantenerse alerta ante correos sospechosos que busquen inducir urgencia o incluyan errores y enlaces en apariencia extraños.
Adicionalmente, se recomienda utilizar la herramienta Google Security Checkup, que permite revisar dispositivos con sesión iniciada, aplicaciones con acceso autorizado, y actualizar mecanismos de recuperación como correo alternativo y teléfono. Google también sugiere utilizar el programa “Advanced Protection Program” y adoptar passkeys cuando sea posible, además de capacitar a los empleados sobre técnicas de ingeniería social como el vishing.
