{"id":4153,"date":"2025-09-21T16:25:25","date_gmt":"2025-09-21T21:25:25","guid":{"rendered":"https:\/\/www.itechsas.com\/blog\/?p=4153"},"modified":"2025-09-21T16:25:27","modified_gmt":"2025-09-21T21:25:27","slug":"fbi-alerta-sobre-ciberdelincuentes-que-roban-datos-de-grandes-corporaciones-a-nivel-mundial","status":"publish","type":"post","link":"https:\/\/www.itechsas.com\/blog\/ciberseguridad\/fbi-alerta-sobre-ciberdelincuentes-que-roban-datos-de-grandes-corporaciones-a-nivel-mundial\/","title":{"rendered":"FBI alerta sobre ciberdelincuentes que roban datos de grandes corporaciones a nivel mundial"},"content":{"rendered":"\n

El FBI ha emitido una alerta FLASH<\/strong> advirtiendo que dos grupos de ciber crimen est\u00e1n comprometiendo los entornos de las organizaciones para robar datos y extorsionar a las v\u00edctimas. Conozca el listado<\/strong> de las grandes corporaciones afectadas. <\/p>\n\n\n\n

\u00abLa Oficina Federal de Investigaciones (FBI) est\u00e1 publicando este FLASH para difundir Indicadores de Compromiso (IOC) asociados con las recientes actividades cibern\u00e9ticas maliciosas de los grupos cibercriminales UNC6040 y UNC6395<\/strong>, responsables de un n\u00famero creciente de robos de datos e intrusiones de extorsi\u00f3n\u00bb.<\/p>\n\n\n\n

\"\"<\/a>
https:\/\/www.ic3.gov\/CSA\/2025\/250912.pdf<\/a><\/figcaption><\/figure>\n\n\n\n

Los ataques de robo de datos de Salesforce<\/h2>\n\n\n\n

UNC6040 fue revelado por primera vez por Google Threat Intelligence (Mandiant) en junio, quien advirti\u00f3 que desde finales de 2024, los actores de amenazas estaban utilizando ataques de ingenier\u00eda social y vishing<\/strong> para enga\u00f1ar a los empleados para que conectaran aplicaciones maliciosas de Salesforce Data Loader OAuth a las cuentas de Salesforce de su empresa<\/strong>.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

En algunos casos, los actores de amenazas se hicieron pasar por personal de soporte de TI corporativo, que utiliz\u00f3 versiones renombradas de la aplicaci\u00f3n llamadas \u00abMy Ticket Portal\u00bb.<\/p>\n\n\n\n

Una vez conectados, los actores de amenazas utilizaron la aplicaci\u00f3n OAuth para filtrar masivamente datos corporativos de Salesforce, que luego fueron utilizados en intentos de extorsi\u00f3n por el grupo de extorsi\u00f3n ShinyHunters.<\/p>\n\n\n\n

En estos primeros ataques de robo de datos, ShinyHunters le dijo a BleepingComputer<\/a> que se dirigieron principalmente a las tablas de bases de datos \u00abCuentas\u00bb y \u00abContactos\u00bb<\/strong>, que se utilizan para almacenar datos sobre los clientes de una empresa.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

Estos ataques de robo de datos fueron generalizados y afectaron a empresas grandes y conocidas, como:\u00a0Google,\u00a0Adidas,\u00a0Qantas,\u00a0Allianz Life, Cisco, Kering, Louis Vuitton, Dior\u00a0y\u00a0Tiffany & Co.<\/strong><\/p>\n\n\n\n

Google confirma filtraci\u00f3n de datos \u2013 Blog de Itech Sas<\/a><\/p>\n\n\n\n

Los ataques posteriores de robo de datos en agosto tambi\u00e9n se dirigieron a los clientes de Salesforce, pero esta vez utilizaron Salesloft Drift OAuth robados y tokens de actualizaci\u00f3n<\/a> para violar las instancias de Salesforce de los clientes.<\/p>\n\n\n\n

Esta actividad se rastrea como UNC6395 y se cree que ocurri\u00f3 entre el 8 y el 18 de agosto, y los actores de amenazas usaron los tokens para apuntar a la informaci\u00f3n del caso de soporte de la compa\u00f1\u00eda que se almacen\u00f3 en Salesforce.<\/p>\n\n\n\n

Luego, los datos exfiltrados se analizaron para extraer secretos, credenciales y tokens de autenticaci\u00f3n compartidos en casos de soporte, incluidas claves de AWS, contrase\u00f1as y tokens de Snowflake<\/strong>. Estas credenciales podr\u00edan usarse para pivotar a otros entornos de nube para el robo de datos adicionales.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

M\u00e1s tarde se revel\u00f3 que los actores de amenazas tambi\u00e9n robaron tokens de<\/strong> Drift Email<\/strong>, que se utilizaron para acceder a los correos electr\u00f3nicos de una peque\u00f1a cantidad de cuentas de Google Workspace<\/a>.<\/p>\n\n\n\n

Una investigaci\u00f3n de Mandiant determin\u00f3 que el ataque se origin\u00f3 en marzo, cuando los repositorios de GitHub de Salesloft se vieron comprometidos, lo que permiti\u00f3 a los atacantes robar finalmente los tokens de OAuth de Drift.<\/strong><\/p>\n\n\n\n

Al igual que los ataques anteriores, estos nuevos ataques de robo de datos de Salesloft Drift afectaron a numerosas empresas, incluidas: Cloudflare, Zscaler, Tenable, CyberArk, Elastic, BeyondTrust, Proofpoint, JFrog, Nutanix, Qualys, Rubrik, Cato Networks, Palo Alto Networks<\/strong> y muchas m\u00e1s<\/a>.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n

Si bien el FBI no nombr\u00f3 a los grupos detr\u00e1s de estas campa\u00f1as, el grupo de extorsi\u00f3n ShinyHunters<\/strong> le dijo a BleepingComputer que ellos y otros actores de amenazas que se llamaban a s\u00ed mismos \u00abScatter Lapsus$ Hunters\u00bb<\/strong>, estaban detr\u00e1s de ambos grupos de actividad.<\/p>\n\n\n\n

ShinyHunters tambi\u00e9n afirma haber robado m\u00e1s de 1.5 mil millones de registros de Salesforce de 760 empresas<\/strong> de las tablas de objetos de Salesforce<\/strong> \u00abCuenta\u00bb, \u00abContacto\u00bb, \u00abCaso\u00bb, \u00abOportunidad\u00bb y \u00abUsuario<\/a>\u00ab, utilizando herramientas y esc\u00e1neres de c\u00f3digo fuente en busca de debilidades y secretos<\/strong>, lo que result\u00f3 en el hallazgo de tokens OAuth para las plataformas Salesloft Drift y Drift Email.<\/p>\n\n\n\n

De estos registros, aproximadamente 250 millones<\/strong> eran de la cuenta, 579 millones<\/strong> de Contacto, 171 millones<\/strong> de Oportunidad, 60 millones<\/strong> de Usuario y alrededor de 459 millones<\/strong> de registros de las tablas de Case Salesforce<\/strong>.<\/p>\n\n\n\n

La tabla Case se utiliz\u00f3 para almacenar informaci\u00f3n y texto de los tickets de soporte enviados por los clientes de estas empresas, que, para las empresas tecnol\u00f3gicas, podr\u00edan incluir datos confidenciales.<\/p>\n\n\n\n

Como prueba de que estaban detr\u00e1s del ataque, el actor de amenazas comparti\u00f3 un archivo de texto que enumeraba las carpetas de c\u00f3digo fuente en el repositorio de GitHub de Salesloft violado.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

Quienes son los grupos detras de Scatter Lapsus$ Hunters<\/h2>\n\n\n\n

ShinyHunters<\/strong> es un grupo de amenazas con motivaciones financieras que gan\u00f3 notoriedad en 2020 a trav\u00e9s de una serie de violaciones de datos a gran escala y campa\u00f1as de extorsi\u00f3n dirigidas a las principales marcas globales. Los datos robados los monetizan a trav\u00e9s de foros clandestinos. Se especializan en ataques sigilosos para robar credenciales y explotar bases de datos<\/strong>, en lugar de t\u00e1cticas m\u00e1s directas como el vishing.<\/p>\n\n\n\n

Scatter Spider<\/strong> es un grupo de ciberdelincuentes impulsado financieramente vinculado al colectivo de pirater\u00eda m\u00e1s amplio \u00abThe Community\u00bb (tambi\u00e9n conocido como The Com). Inicialmente conocido por las operaciones de intercambio de SIM, el grupo ha avanzado hasta la ejecuci\u00f3n de complejos esquemas de ingenier\u00eda social<\/strong>. Con fluidez en ingl\u00e9s, sus miembros manipulan los sistemas de asistencia t\u00e9cnica y se hacen pasar por empleados para infiltrarse en las organizaciones. El grupo se dirige principalmente a sectores de alto valor como el comercio minorista, la tecnolog\u00eda y las finanzas, as\u00ed como a empresas con los recursos para pagar rescates considerables o datos valiosos que pueden usarse como palanca en las negociaciones.<\/p>\n\n\n\n

Recomendaciones de seguridad<\/h2>\n\n\n\n