Las autoridades advierten que los cibercriminales roban datos de grandes empresas mediante engaños a empleados y aplicaciones maliciosas, para luego exigir rescates millonarios. Expertos creen que los grupos podrían reconfigurarse y continuar activos pese a anunciar su “retiro”.
El FBI emitió una alerta de tipo FLASH advirtiendo a organizaciones sobre una campaña de robo de datos y extorsión dirigida contra plataformas Salesforce. La ofensiva, atribuida a los grupos UNC6040 y UNC6395, más conocidos como ShinyHunters y Scattered Spider, ha afectado a cientos de empresas en sectores tan diversos como tecnología, seguros, retail y lujo.
Según el comunicado, los atacantes comenzaron a operar en octubre de 2024 utilizando tácticas de ingeniería social. A menudo llamaban a centros de soporte haciéndose pasar por empleados de TI para obtener credenciales, lo que les permitió acceder a entornos de Salesforce y extraer grandes volúmenes de información de clientes. En otros casos, emplearon correos y mensajes de texto fraudulentos para tomar control de dispositivos corporativos.
El FBI advirtió que “los actores de amenaza UNC6040 engañaron a víctimas para autorizar aplicaciones conectadas maliciosas en los portales de Salesforce”, lo que les otorgó capacidades amplias para consultar y exfiltrar datos directamente de los sistemas comprometidos. Una de estas aplicaciones falsas fue bautizada como “My Ticket Portal”, según reveló Google Mandiant en junio pasado.
Durante el verano de 2025, los atacantes incrementaron la sofisticación de sus técnicas y comenzaron a explotar integraciones de terceros, en particular el chatbot de IA Salesloft Drift, vinculado con Salesforce. Gracias al robo de tokens OAuth y de actualización, lograron acceder a bases de datos de soporte técnico que contenían secretos y credenciales como claves de AWS, contraseñas y tokens de Snowflake, lo que abría la puerta a comprometer otros entornos en la nube.
La lista de compañías impactadas es extensa e incluye a Google, Adidas, Qantas, Allianz Life, Cisco, Louis Vuitton, Dior, Tiffany & Co., Cloudflare, Palo Alto Networks, Zscaler, Proofpoint, CyberArk, Elastic, Tenable, Nutanix, Rubrik, Cato Networks, BeyondTrust, Qualys, entre muchas otras, y que hemos mencionado anteriormente en este blog.
Los ataques derivaron en campañas de extorsión con exigencias económicas en criptomonedas. “Tras meses infiltrándose en grandes compañías, los hackers amenazan con filtrar datos de clientes y documentos internos si no reciben el pago”, explicó la agencia, aunque no detalló cuántas víctimas recibieron estos correos. Las demandas variaron en montos y tiempos, y algunas llegaron días después del robo y en otros casis, meses más tarde.
Casos recientes confirman el alcance de la operación. Esta semana, el conglomerado francés Kering, dueño de Gucci y Balenciaga, reconoció haber sido atacado, mientras que en un incidente en Vietnam se confirmó la sustracción de millones de registros financieros.
El FBI instó a las empresas a reforzar la capacitación de sus empleados frente a intentos de suplantación, limitar privilegios de cuentas, monitorear el uso de APIs y aplicar restricciones de acceso basadas en IP. También compartió indicadores de compromiso (IOCs) para que las organizaciones evalúen si fueron víctimas de la campaña.