Google confirma que fue victima de la campaña de estafas telefonicas contra clientes de Salesforce
Google ha revelado que en junio de 2025 su instancia corporativa de Salesforce fue comprometida mediante la misma campaña de ingeniería social que la compañia habia advertido publicamente ese mismo mes. El ataque, dirigido por actores con motivacion economica, ha afectado a empresas de alto perfil como Adidas, Qantas, Allianz Life, Cisco y las filiales de LVMH (Louis Vuitton, Dior y Tiffany & Co.), segun reporto *Bleeping Computer*.
La tecnica utilizada no explota vulnerabilidades de software, sino que se basa en suplantacion telefonica. Los atacantes llaman a empleados haciendose pasar por personal del departamento de TI de la propia empresa y alegan un problema urgente que requiere acceso inmediato a Salesforce. Durante la conversacion, instruyen a la victima para vincular una aplicacion externa a la instancia de Salesforce, proceso que requiere un codigo de seguridad de ocho digitos. Una vez obtenido este codigo, los atacantes logran el acceso completo a los datos almacenados.
En el caso de Google, la empresa informo que los intrusos accedieron a su instancia de Salesforce durante una “ventana de tiempo reducida” antes de que el acceso fuera revocado. La informacion sustraida se limito a datos comerciales como nombres de empresas y contactos, que segun Google ya eran en su mayoria de dominio publico.
Inicialmente, Google atribuyo los ataques al grupo identificado como UNC6040, especializado en intrusiones en Salesforce. Posteriormente, indico que un segundo grupo, UNC6042, ha llevado a cabo actividades de extorsion, a veces meses despues de las intrusiones iniciales. Este ultimo opera bajo la marca “ShinyHunters” y, segun Google, podria estar preparando el lanzamiento de un sitio de filtracion de datos (Data Leak Site, DLS) para aumentar la presion sobre las victimas.
La campaña ha expuesto la eficacia de este vector de ataque, que combina el abuso de funcionalidades legitimas de Salesforce con manipulacion directa de empleados. Expertos recomiendan que todas las organizaciones que utilicen Salesforce auditen los accesos externos concedidos a sus instancias, implementen autenticacion multifactor y refuercen la capacitacion del personal para identificar intentos de fraude antes de que se materialicen.
Dada la magnitud y el perfil de las empresas afectadas, es probable que existan mas victimas que aun no han hecho publica la brecha.
