{"id":4136,"date":"2025-08-10T09:52:00","date_gmt":"2025-08-10T14:52:00","guid":{"rendered":"https:\/\/www.itechsas.com\/blog\/?p=4136"},"modified":"2025-08-10T01:56:22","modified_gmt":"2025-08-10T06:56:22","slug":"google-confirma-filtracion-de-datos","status":"publish","type":"post","link":"https:\/\/www.itechsas.com\/blog\/ciberseguridad\/google-confirma-filtracion-de-datos\/","title":{"rendered":"Google confirma filtraci\u00f3n de datos"},"content":{"rendered":"\n<p>Google ha sido v\u00edctima de una violaci\u00f3n de datos como parte de una ola de ataques dirigidos a instancias de\u00a0<strong>Salesforce CRM<\/strong>, llevados a cabo por el grupo de extorsi\u00f3n\u00a0<strong>ShinyHunters<\/strong> que involucr\u00f3 la informaci\u00f3n de clientes potenciales de <strong>Google Ads<\/strong>.<\/p>\n\n\n\n<p>En junio, Google advirti\u00f3 que un actor de amenazas que clasifican como \u00ab<strong>UNC6040<\/strong>\u00bb estaba apuntando a los empleados de las empresas en ataques de ingenier\u00eda social de phishing de voz (vishing) para violar las instancias de Salesforce y descargar datos de clientes. Estos datos se utilizan para extorsionar a las empresas para que paguen un rescate para evitar que se filtren los datos.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2025\/08\/image.png\"><img data-opt-id=1908846605  fetchpriority=\"high\" decoding=\"async\" width=\"1024\" height=\"597\" src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:1024\/h:597\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2025\/08\/image.png\" alt=\"\" class=\"wp-image-4139\" srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:1024\/h:597\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2025\/08\/image.png 1024w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:300\/h:175\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2025\/08\/image.png 300w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:768\/h:447\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2025\/08\/image.png 768w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:1536\/h:895\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2025\/08\/image.png 1536w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:830\/h:484\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2025\/08\/image.png 830w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:1605\/h:935\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2025\/08\/image.png 1605w\" sizes=\"(max-width: 650px) 100vw, 650px\" \/><\/a><figcaption class=\"wp-element-caption\"><a href=\"https:\/\/cloud.google.com\/blog\/topics\/threat-intelligence\/voice-phishing-data-extortion\">The Cost of a Call: From Voice Phishing to Data Extortion | Google Cloud Blog<\/a><\/figcaption><\/figure>\n\n\n\n<p>Los actores de amenazas se hicieron pasar por personal de soporte de TI en llamadas telef\u00f3nicas a empleados espec\u00edficos, intentando persuadirlos para que visitaran la p\u00e1gina de configuraci\u00f3n de la aplicaci\u00f3n conectada de Salesforce. En esta p\u00e1gina, se les dijo que ingresaran un \u00abc\u00f3digo de conexi\u00f3n\u00bb, que vinculaba una versi\u00f3n maliciosa de la aplicaci\u00f3n <strong>Data Loader OAuth de Salesforce<\/strong> al entorno de Salesforce del objetivo.<\/p>\n\n\n\n<p>En algunos casos, el componente Data Loader fue renombrado a \u00abMy Ticket Portal\u00bb, para hacerlo m\u00e1s convincente en los ataques.<\/p>\n\n\n<div class=\"wp-block-image\">\n<figure class=\"aligncenter\"><img data-opt-id=198113998  fetchpriority=\"high\" decoding=\"async\" width=\"406\" height=\"455\" src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2025\/08\/prompt.jpg\" alt=\"Solicitar que se introduzca el c\u00f3digo de conexi\u00f3n\" class=\"wp-image-4150\" srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:406\/h:455\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2025\/08\/prompt.jpg 406w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:268\/h:300\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2025\/08\/prompt.jpg 268w\" sizes=\"(max-width: 406px) 100vw, 406px\" \/><figcaption class=\"wp-element-caption\"><strong>Solicitud para ingresar el c\u00f3digo<\/strong><br>de conexi\u00f3n&nbsp;<em>Fuente: Google<\/em><\/figcaption><\/figure><\/div>\n\n\n<h4 class=\"wp-block-heading\"><strong>Detalles del ataque:<\/strong><\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>El grupo de amenazas, identificado como\u00a0<strong>UNC6040<\/strong>, utiliz\u00f3 t\u00e9cnicas de\u00a0<strong>vishing<\/strong>\u00a0(phishing por voz) para acceder a datos de clientes.<\/li>\n\n\n\n<li>La instancia afectada almacenaba informaci\u00f3n de contacto y notas relacionadas con peque\u00f1as y medianas empresas.<\/li>\n\n\n\n<li>Los datos robados eran principalmente\u00a0<strong>informaci\u00f3n comercial<\/strong> como nombres y detalles de contacto, n\u00fameros de tel\u00e9fono.<\/li>\n\n\n\n<li>Si bien Google no ha compartido cu\u00e1ntas personas se vieron afectadas, ShinyHunters dice que la informaci\u00f3n robada contiene aproximadamente <strong>2.55 millones<\/strong> de registros de datos. <\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\"><strong>Responsables<\/strong>:<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Aunque Google clasifica a los atacantes como UNC6040 o UNC6240,\u00a0<strong>ShinyHunters<\/strong> se\u00a0ha reivindicado los ataques.<\/li>\n\n\n\n<li>Este grupo ha estado vinculado a violaciones anteriores en empresas como\u00a0<strong>PowerSchool, Oracle Cloud, Snowflake, AT&amp;T, Wattpad, MathWay<\/strong>, <strong>TicketMaster<\/strong> entre otras.<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\"><strong>Extorsi\u00f3n<\/strong>:<\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Las empresas afectadas est\u00e1n siendo extorsionadas por correo electr\u00f3nico.<\/li>\n\n\n\n<li>Una empresa ya pag\u00f3\u00a0<strong>4 Bitcoins (~$400,000)<\/strong>\u00a0para evitar la filtraci\u00f3n de sus datos.<\/li>\n\n\n\n<li>Otras compa\u00f1\u00edas afectadas incluyen\u00a0<strong>Adidas, Chanel, Qantas, Allianz Life, Cisco<\/strong>, y marcas de\u00a0<strong>LVMH<\/strong>\u00a0como\u00a0<strong>Louis Vuitton, Dior y Tiffany &amp; Co.<\/strong><\/li>\n\n\n\n<li>Databreaches.net inform\u00f3 que los actores de amenazas ya enviaron una demanda de extorsi\u00f3n a Google exigiendo 20 Bitcoins, aproximadamente <strong>$2.3 millones <\/strong>para no filtrar los datos.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">Qui\u00e9nes son los ShinyHunters?<\/h3>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2025\/08\/image-4.png\"><img data-opt-id=1447451527  data-opt-src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2025\/08\/image-4.png\"  decoding=\"async\" width=\"955\" height=\"273\" src=\"data:image/svg+xml,%3Csvg%20viewBox%3D%220%200%20100%%20100%%22%20width%3D%22100%%22%20height%3D%22100%%22%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Crect%20width%3D%22100%%22%20height%3D%22100%%22%20fill%3D%22transparent%22%2F%3E%3C%2Fsvg%3E\" alt=\"\" class=\"wp-image-4147\" old-srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:955\/h:273\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2025\/08\/image-4.png 955w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:300\/h:86\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2025\/08\/image-4.png 300w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:768\/h:220\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2025\/08\/image-4.png 768w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:830\/h:237\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2025\/08\/image-4.png 830w\" \/><\/a><\/figure>\n\n\n\n<p>Este grupo est\u00e1 activo desde 2020, su nombre proviene de los \u201cshiny Pok\u00e9mon\u201d, reflejando su enfoque en vulnerabilidades raras y valiosas.<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Motivaci\u00f3n:<\/strong>\u00a0Principalmente\u00a0<strong>ganancias financieras<\/strong>.<\/li>\n\n\n\n<li><strong>Afiliaci\u00f3n:<\/strong>\u00a0No est\u00e1n vinculados a gobiernos; son ciberdelincuentes independientes.<\/li>\n<\/ul>\n\n\n\n<h4 class=\"wp-block-heading\"><strong>Los m\u00e9todos de ataque que usa ShinyHunters son:<\/strong><\/h4>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Phishing y vishing:<\/strong>\u00a0Correos o llamadas falsas para obtener credenciales.<\/li>\n\n\n\n<li><strong>Descargas maliciosas y fuerza bruta.<\/strong><\/li>\n\n\n\n<li><strong>Explotaci\u00f3n de servicios p\u00fablicos y remotos.<\/strong><\/li>\n\n\n\n<li><strong>Uso de herramientas personalizadas para escaneo y extracci\u00f3n de datos.<\/strong><\/li>\n\n\n\n<li><strong>Venta de datos robados en foros clandestinos como RaidForums y BreachForums.<\/strong><\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\">\u00bfQue dice Salesforce?<\/h3>\n\n\n\n<p>En una declaraci\u00f3n a <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/google-suffers-data-breach-in-ongoing-salesforce-data-theft-attacks\/\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>BleepingComputer<\/strong><\/a>, Salesforce enfatiz\u00f3 que su plataforma no se vio comprometida, sino que las cuentas de los clientes est\u00e1n siendo violadas en ataques de ingenier\u00eda social.<\/p>\n\n\n\n<p>\u00abSalesforce no se ha visto comprometido y los problemas descritos no se deben a ninguna vulnerabilidad conocida en nuestra plataforma. Si bien Salesforce incorpora seguridad de nivel empresarial en todo lo que hacemos, los clientes tambi\u00e9n juegan un papel fundamental para mantener sus datos seguros, especialmente en medio de un aumento en los sofisticados ataques de phishing e ingenier\u00eda social\u00bb, dijo Salesforce a BleepingComputer.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h3 class=\"wp-block-heading\">SIMULACION DE ATAQUE PHISHING \u2013 CYBER PHISH<\/h3>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2025\/08\/image-3.png\"><img data-opt-id=1358234609  data-opt-src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2025\/08\/image-3.png\"  loading=\"lazy\" decoding=\"async\" width=\"815\" height=\"381\" src=\"data:image/svg+xml,%3Csvg%20viewBox%3D%220%200%20100%%20100%%22%20width%3D%22100%%22%20height%3D%22100%%22%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Crect%20width%3D%22100%%22%20height%3D%22100%%22%20fill%3D%22transparent%22%2F%3E%3C%2Fsvg%3E\" alt=\"\" class=\"wp-image-4144\" old-srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:815\/h:381\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2025\/08\/image-3.png 815w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:300\/h:140\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2025\/08\/image-3.png 300w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:768\/h:359\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2025\/08\/image-3.png 768w\" \/><\/a><\/figure>\n\n\n\n<p><strong>CyberPhish <\/strong>es una plataforma de simulaci\u00f3n y formaci\u00f3n de empleados que emplea t\u00e9cnicas realistas de phishing. Conozca cu\u00e1les son sus puntos d\u00e9biles y entrene a sus empleados antes que sea tarde. <\/p>\n\n\n\n<div class=\"wp-block-buttons is-layout-flex wp-block-buttons-is-layout-flex\">\n<div class=\"wp-block-button\"><a class=\"wp-block-button__link has-vivid-red-background-color has-background wp-element-button\" href=\"https:\/\/forms.gle\/RQH4DdvY7h1f7Svt6\" target=\"_blank\" rel=\"noreferrer noopener\">Quiero una demo de CyberPhish<\/a><\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Google ha sido v\u00edctima de una violaci\u00f3n de datos como parte de una ola de ataques dirigidos a instancias de\u00a0Salesforce CRM, llevados a cabo por el grupo de extorsi\u00f3n\u00a0ShinyHunters que involucr\u00f3 la informaci\u00f3n de clientes potenciales de Google Ads. En junio, Google advirti\u00f3 que un actor de amenazas que clasifican como \u00abUNC6040\u00bb estaba apuntando a&hellip;<\/p>\n","protected":false},"author":1,"featured_media":4141,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[23],"tags":[26,354,239,50,54,482,484,55],"class_list":["post-4136","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad","tag-datos","tag-filtracion-2","tag-google","tag-ingenieria-social","tag-phishing","tag-salesforce","tag-shinyhunters","tag-vishing"],"_links":{"self":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/4136","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/comments?post=4136"}],"version-history":[{"count":9,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/4136\/revisions"}],"predecessor-version":[{"id":4151,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/4136\/revisions\/4151"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media\/4141"}],"wp:attachment":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media?parent=4136"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/categories?post=4136"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/tags?post=4136"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}