Google confirmó que un grupo de ciberdelincuentes accedió en junio a información de una base de datos alojada en una instancia de Salesforce comprometida, incidente que ha derivado en intentos de estafa dirigidos a usuarios de Gmail. Según estimaciones de medios especializados como Android Headlines, más de 2,500 millones de correos electrónicos podrían haberse visto expuestos en campañas de phishing.
El Google Threat Intelligence Group (GTIG) identificó a UNC6040, vinculado a los conocidos ShinyHunters, como responsable del ataque. Los atacantes se hicieron pasar por personal de soporte técnico mediante técnicas de ‘vishing’ (phishing de voz), logrando que empleados de multinacionales compartieran credenciales de acceso a instancias de Salesforce. Posteriormente, usaron la información para extorsionarles.
En el caso de Google, los ciberdelincuentes accedieron a datos de pequeñas y medianas empresas, principalmente nombres comerciales, contactos y notas corporativas. La compañía subrayó que no se comprometieron contraseñas ni información sensible y que los clientes afectados fueron notificados.
“El análisis reveló que los atacantes solo pudieron recuperar datos durante una breve ventana de tiempo antes de que se cortara el acceso”, explicó el GTIG en un comunicado.
No obstante, la información robada se utiliza ahora en correos fraudulentos enviados a usuarios de Gmail, en los que los delincuentes suplantan a Google y alertan de falsas brechas de seguridad para inducirles a entregar sus contraseñas.
Recomendaciones de Google
La compañía recordó que nunca contacta por teléfono para pedir credenciales ni notificar brechas de seguridad. Asimismo, instó a sus usuarios a reforzar sus cuentas con las siguientes medidas:
- Utilizar la herramienta Google Security Checkup para revisar accesos y configuraciones.
- Activar el Advanced Protection Program para añadir una capa extra de seguridad en Gmail.
- Adoptar passkeys en lugar de contraseñas tradicionales cuando sea posible.
- Implementar autenticación multifactor (MFA) en todas las cuentas vinculadas a servicios críticos como Salesforce.
- Desconfiar de llamadas o mensajes sospechosos que se hagan pasar por soporte de Google.
- Auditar periódicamente las aplicaciones conectadas y eliminar aquellas desconocidas o en desuso.
- Capacitar al personal en ingeniería social y tácticas de estafa como el vishing.