La compañía investiga el acceso no autorizado que permitió robar información básica de usuarios registrados en Cisco.com, sin que se vieran comprometidos datos confidenciales ni productos. Todo apunta a que es otra de las entidades afectadas por ataques dirigidos a Salesforce.
Cisco confirmó que un actor malicioso logró acceder a información básica de usuarios registrados en su sitio web, Cisco.com, tras engañar a un empleado mediante un ataque de vishing (phishing por voz). El acceso no autorizado permitió al atacante infiltrarse en un sistema de gestión de relaciones con clientes (CRM) basado en la nube y operado por un tercero, lo que facilitó la exfiltración de datos personales.
La empresa explicó que el incidente no comprometió información confidencial ni propietaria de clientes organizacionales, contraseñas u otro tipo de datos sensibles. Tampoco se vieron afectados sus productos, servicios ni otras instancias de sus sistemas CRM. Los datos extraídos incluyen nombres, correos electrónicos, direcciones, teléfonos, identificadores de usuario asignados por Cisco, nombres de organizaciones y metadatos de cuentas como las fechas de creación.
La intrusión fue detectada el pasado 24 de julio, cuando Cisco se percató del acceso irregular y procedió de inmediato a bloquear al atacante. “Una vez conocido el incidente, se terminó de inmediato el acceso del actor a esa instancia del CRM y Cisco inició una investigación”, señalaron desde la empresa, y complementaron que “hemos contactado a las autoridades de protección de datos y notificado a los usuarios afectados conforme lo exige la ley.”
Aunque Cisco aún no ha revelado cuántas personas se vieron afectadas ni si los atacantes han exigido un rescate, este episodio parece estar relacionado con una serie de ataques dirigidos a plataformas CRM de Salesforce mediante ingeniería social. Diversas compañías como Adidas, Qantas, Chanel, Allianz Life y marcas de LVMH (Louis Vuitton, Dior y Tiffany & Co.) han sido víctimas de filtraciones similares en las últimas semanas, las cuales se atribuyen al grupo de extorsión ShinyHunters.
“No podemos confirmar por ahora si la instancia comprometida era de Salesforce”, indicó Cisco a medios especializados de ciberseguridad, aunque los indicios apuntan a esa plataforma. La empresa también aseguró que “estamos implementando nuevas medidas de seguridad para reducir el riesgo de que incidentes similares ocurran en el futuro, incluyendo una reeducación del personal para detectar y protegerse ante posibles ataques de vishing”.
Este no es el primer incidente de ciberseguridad que enfrenta Cisco en el último tiempo. En octubre, la empresa debió desconectar su portal DevHub público luego de que el actor IntelBroker filtrara archivos en el foro BreachForums. Posteriormente, en noviembre, Cisco confirmó que el atacante había descargado esos datos desde una instancia del portal mal configurada, lo que expuso información perteneciente a clientes del área de Servicios Profesionales CX.