- Acceso no autorizado a una base en Salesforce vinculada a Google; sin contraseñas filtradas.
- ShinyHunters/UNC6040 empleó vishing e ingeniería social para obtener permisos.
- Hasta 2.500 millones de direcciones de Gmail podrían ser objetivo de estafas.
- Recomendaciones clave: no compartir códigos, activar 2FA y vigilar accesos.
Un acceso indebido a una base de datos alojada en Salesforce y vinculada a Google ha encendido las alarmas por el posible uso de esa información en campañas de fraude dirigidas a más de 2.500 millones de cuentas de Gmail guía para recuperar la cuenta. La compañía detectó la intrusión, la bloqueó y asegura que no se expusieron contraseñas ni credenciales.
Según los detalles compartidos por equipos de inteligencia de amenazas de Google, el incidente se remonta a junio y fue descrito públicamente a principios de agosto. La operativa habría implicado técnicas de ingeniería social y suplantación de soporte técnico para obtener accesos que permitieron copiar datos empresariales básicos y de contacto.
Qué ha sucedido y quién está detrás
Google Threat Intelligence Group (GTIG) atribuye la actividad a UNC6040, asociado al grupo ShinyHunters, conocido por campañas de vishing (phishing por voz). Los atacantes se hicieron pasar por personal de soporte para guiar a empleados y validar conexiones desde aplicaciones manipuladas, como versiones falsas de Data Loader de Salesforce, logrando así extraer información.
La compañía sostiene que lo accedido fue información corporativa de carácter básico (nombres comerciales y datos de contacto) y que no se vieron comprometidos datos sensibles como contraseñas, credenciales o información financiera. Aun así, ese material puede alimentar nuevas tácticas de engaño.
Alcance y cifras: por qué se habla de 2.500 millones
Diversas publicaciones especializadas, como Android Headlines, apuntan a que la información robada está siendo empleada para intentar estafas a más de 2.500 millones de direcciones de Gmail. En la práctica, esto significa una oleada potencial de correos y llamadas con pretextos de seguridad para inducir a usuarios a revelar sus claves.
Google indica que ha notificado a organizaciones y cuentas afectadas y recalca que la intrusión no incluyó contraseñas. Sin embargo, con nombres y emails empresariales en la mano, los delincuentes pueden lanzar campañas de phishing y suplantación con alto grado de verosimilitud, así como intentos de extorsión.
Entre las tácticas observadas se mencionan mensajes y llamadas que simulan provenir de empleados de Google alertando de supuestas brechas y urgencias para iniciar sesión. En algunos casos, los atacantes habrían exigido pagos en criptomonedas en plazos muy breves (72 horas), bajo amenaza de divulgar los datos.
Cómo operó la estafa: ingeniería social paso a paso
Los agresores contactaron a personal de empresas haciéndose pasar por soporte técnico legítimo. Tras ganarse su confianza, guiaron a las víctimas para autorizar conexiones de aplicaciones aparentemente necesarias para tareas rutinarias.
Esas autorizaciones permitieron a los atacantes copiar información desde Salesforce sin necesidad de vulnerar contraseñas. La campaña ha afectado especialmente a pequeñas y medianas empresas que integran servicios de Google con su CRM.
Riesgos actuales para usuarios y señales de alerta
El peligro más inmediato no es la filtración de contraseñas, sino la explotación de datos de contacto para intentar nuevos fraudes. Correos que piden iniciar sesión con urgencia, llamadas que reclaman códigos de verificación o enlaces a paneles falsos son ahora los anzuelos más probables.
Para evitar caer en la trampa, recuerda que Google no solicita contraseñas ni códigos 2FA por email o teléfono. Desconfía de la presión del tiempo, comprueba el remitente y revisa siempre la URL antes de introducir datos.
Pasos rápidos para mejorar tu seguridad
Adoptar medidas sencillas marca la diferencia. Estas son las acciones prioritarias recomendadas por los equipos de seguridad y mejores prácticas del sector.
- No compartas nunca tu código de verificación de Google con nadie, por ningún canal.
- Identifica correos y llamadas de estafa: sospecha de la urgencia, verifica la identidad y no sigas enlaces dudosos.
- Activa la verificación en dos pasos (2FA/MFA) para añadir una capa extra a tu cuenta.
- Usa contraseñas fuertes y únicas y actualízalas si sospechas cualquier actividad extraña.
- Supervisa actividad y sesiones en tu cuenta de Google y cierra accesos desconocidos.
- Mantén sistemas y apps al día con las últimas actualizaciones de seguridad.
Recomendaciones para empresas y administradores
En entornos corporativos, reducir la superficie de ataque y contener el impacto exige controles técnicos y formación continua frente a la ingeniería social.
- Principio de mínimo privilegio: limitar permisos al estrictamente necesario, incluido el uso de herramientas como Data Loader.
- Gestión de apps conectadas: auditar qué aplicaciones tienen acceso y quién puede autorizarlas.
- Restricciones por IP y ubicación: aplicar controles de acceso a redes y sedes definidas.
- Formación periódica en vishing, phishing e higiene digital para todos los empleados.
- Monitoreo y auditorías: revisar perfiles, permisos y descargas de datos de alto volumen.
- Alertas automáticas ante comportamientos anómalos para reaccionar a tiempo.
- Protocolo ante extorsión: no pagar, conservar evidencias y escalar por canales oficiales.
El caso ilustra el impacto que puede tener la ingeniería social incluso sin fuga de contraseñas: con datos de contacto, los atacantes potencian suplantaciones a gran escala. Mantener la guardia alta, aplicar 2FA y validar cualquier comunicación sospechosa son hoy los mejores aliados para mantener a salvo las cuentas de Gmail y los entornos corporativos que dependen de ellas.
