Una campaña de ataques cibernéticos orquestados a través de la ingeniería social contra las instancias de la fuerza de ventas de los usuarios ahora se atribuye a la pandilla de crimen cibernético Shinyhunters con una creciente confianza, y la lista de víctimas parece estar creciendo día a día. Hasta la fecha, se han vinculado múltiples organizaciones comprometidas con estos ataques. Entre ellas hay marcas de moda, incluidas adidas; LVMH Brands Dior, Louis Vuitton y Tiffany & Co; Compañía de joyería Pandora, compañías de seguros como Allianz y aerolíneas como Qantas y Air France-KLM. Incluso el sector de la tecnología no es inmune a los «afectos» de Shinyhunters. Google también ha informado que fue afectado por la operación, revelando el 5 de agosto que una de sus instancias corporativas de Salesforce fue violada y los datos sobre pequeños y medianos clientes empresariales (PYME) tomados, aunque afortunadamente esto era en su mayoría información comercial disponible en su mayoría, como nombres comerciales y números de contacto. ¿Quiénes son los brillos y qué quieren? Desde abril de 2025, una audaz serie de ataques cibernéticos orquestados por la araña dispersa colectiva de piratería de habla inglesa, particularmente un incidente en el que la pandilla violó los sistemas de Marks & Spencer (M&S) de la calle de la calle (M&S), ha llevado los ataques de ingeniería social a la atención principal. Si bien ha habido pruebas en ausencia que permitan a la comunidad de amenazas Intel atribuir definitivamente a los incidentes cibernéticos, varios de los ataques Shinyhunters se habían vinculado especulativamente con la araña dispersa. Pero la araña dispersa no tiene el monopolio de la ingeniería social, y con el cuerpo de evidencia en esta campaña en particular que apunta con más firmeza a los brillos de brillo, vale la pena aprender más sobre este grupo. La pandilla Shinyhunters parece haberse formado en 2020 como una operación de hack-and-lok, que dio un goteo alimentando a millones de registros robados en el dominio público. Sus objetivos más allá de ese objetivo no están claros, aunque el grupo claramente ahora se está ramificando en extorsión directa. Las víctimas históricas de Shinyhunters, ya sea reclamadas o confirmadas, incluyen AT&T Wireless, Microsoft, Santander y Ticketmaster. Muchas de estas víctimas probablemente fueron violadas a través del abuso de cuentas no garantizadas mantenidas con la plataforma de gestión de datos en la nube Snowflake. Tenga en cuenta que esto no es evidencia de Snowflake en sí mismo, simplemente por un uso no seguro de sus productos y servicios. Shinyhunters también se ha relacionado con las diversas encarnaciones del infame foro de fuga de datos de Breachforums. El desarrollo más reciente en esta historia en particular fue la acusación de junio de 2025 por las autoridades estadounidenses de un prominente hacker conocido como Intelbroker, supuestamente un ciudadano británico de 25 años llamado Kai West y arrestos concurrentes en Francia de otros asociados con Shinyhunters. Curiosamente, el Grupo de Inteligencia de Amenazos de Google (GTIG) evalúa que los brillos y las arañas dispersas pueden compartir algunos enlaces detrás de escena, ya que ambas pandillas demuestran evidencia de afiliación con el COM. El COM es un anillo de piratería más amplio que comprende múltiples grupos dispares y a menudo rivales. Según el FBI, se organiza en varios foros, incluidos Discord y Telegram, y sus miembros, muchos de los cuales probablemente sean menores, participan en diversas formas de criminalidad cibernética. GTIG ha observado varios elementos de infraestructura controlada por los atacantes en uso en múltiples ataques cibernéticos realizados por grupos con vínculos con el COM, así como tácticas superpuestas (ingeniería social en particular), la orientación de las credenciales de OKTA y un enfoque en los usuarios de habla inglesa en las organizaciones multinacionales, todas las características de los boaches y los spinas de los shinyhinters. Según GTIG, es plausible que estas similitudes hayan surgido entre los actores asociados que operan en la misma comunidad central, en lugar de sugerir una colaboración directa entre la araña dispersa y los brillantes. ¿Qué es la ingeniería social? La ingeniería social es una técnica de piratería probada y probada en la que las víctimas específicas están convencidas de renunciar al acceso a los secretos de sus empleadores por varios medios. Los métodos de ingeniería social comúnmente utilizados incluyen correos electrónicos de phishing específicos que intentan engañar a sus destinatarios para que descarguen algo peligroso, como malware o ransomware, o suministren información confidencial como las credenciales de sus sistemas de TI. Otros ingenieros sociales crearán pretextos para jugar sus objetivos. Como hemos visto, en el ámbito digital a menudo se hacen pasar por servicio de ayuda o servicios de apoyo, o pueden ofrecer algo, que a menudo parece demasiado bueno para ser cierto, para despertar interés, que es una técnica clásica de cebo y cambio utilizada por los estafadores del mundo real también. La ingeniería social no solo está llena bajo la bandera de TI y cibernética, sino que es anterior a la edad de la información. A lo largo de la historia humana, los estafadores han desplegado técnicas de ingeniería social. En la era del mito, cuando los antiguos griegos dejaron un enorme caballo de madera en las puertas de Troya, estaban apostando a que los troyanos lo aceptarían como una generosa ofrenda de paz. ¿Qué más es esto sino una forma de ingeniería social? En última instancia, la ingeniería social tiene éxito porque explota una serie de rasgos humanos subyacentes. Queremos confiar y ser útiles para los demás, somos susceptibles a las circunstancias que inducen miedo o urgencia y nos hacen pasar por alto las partes más racionales de nuestros psiques, somos animales curiosos y codiciosos, y tendemos a tener un cierto respeto por las personas que parecen estar en una posición de autoridad, como un agente de apoyo de TI. Entonces, como una táctica para evadir las defensas de su objetivo, la ingeniería social es un ganador. ¿Cómo están atacando Shinyhunters a sus víctimas? Ha habido cierta dificultad en la atribución precisa en torno a la actual campaña de Shinyhunters, como exploraremos, pero los hechos muestran que en general comenzó en algún momento en los últimos meses, aunque primero llamó la atención más amplia en junio cuando, irónicamente, GTIG informó sobre una serie de ataques cibernéticos en los que un actor de amenazas infringió a las víctimas a través de la aplicación de cargadores de datos de ventas. Salesforce Data Loader es una aplicación cliente diseñada para admitir la importación masiva o la exportación de registros de datos, por lo tanto, dado el acceso a información valiosa que ofrece, es fácil ver por qué sería objetivo de ciberdelincuentes. En los ataques descritos por GTIG, los actores de amenaza violaron los sistemas de sus objetivos al hacerse pasar por el personal de soporte de TI en llamadas telefónicas. Esta técnica es una forma de ataque de ingeniería social conocida como phishing de voz, o, simplemente, visitante. Durante las llamadas, las víctimas fueron informadas de un aparente problema de ventas abiertas y guiadas a la página oficial de Salesforce para aplicaciones conectadas. Luego, la persona que llama les indicó que conectara una versión maliciosa y troyanizada del cargador de datos controlada por el actor de amenaza al portal de Salesforce de su organización. Su infraestructura alojó un panel de phishing Okta diseñado para engañar a las víctimas para que lo visite desde dispositivos móviles o computadoras de trabajo para suministrar credenciales y códigos de autenticación multifactorial (MFA) necesarios para hacerlo. Con el acceso obtenido, el actor de amenazas pudo usar la interfaz de programación de aplicaciones del cargador de datos (API) para consultar y exfiltrar datos confidenciales directamente de los entornos de Salesforce de sus víctimas. GTIG informó que la pandilla usó direcciones IP vinculadas al servicio legítimo de red privada Virtual Mullvad (VPN) para acceder y exfiltrar los datos. También se ha observado que la pandilla implementa aplicaciones personalizadas, generalmente scripts de Python que funcionan de manera similar al cargador de datos y exfiltran datos a través del servicio de anonimato Tor, una táctica que puede diseñarse para dificultar el seguimiento y la atribución. GTIG también ha observado que el grupo cambia de usar cuentas de prueba de Salesforce configuradas a través de servicios de correo web para usar cuentas comprometidas en otras organizaciones para registrar el malware. En las etapas finales del ciberataque, los ciberdelincuentes se acercan a la víctima con una demanda de extorsión, generalmente un pago de bitcoin dentro de las 72 horas. En algunos casos, dijo GTIG, ha pasado más de un mes entre el punto en el que exfilaron datos y en el que se enfocaron. Esta brecha puede ser una indicación de crossover o colaboración dentro de la red COM más amplia; GTIG ha atribuido la actividad de intrusión inicial a un grupo etiquetado como UNC6040, y la actividad de extorsión a un grupo etiquetado como UNC6240, que ha afirmado que son «consistentemente» que son brillantes. Esto podría indicar una asociación entre dos grupos distintos para monetizar los datos robados, pero no hay evidencia suficiente para hacer una determinación firme. GTIG sugirió además que Shinyhunters podría estar preparándose para aumentar su campaña lanzando un sitio de fuga de datos para aumentar la presión sobre sus víctimas. ¿Qué está haciendo Salesforce al respecto? A pesar de que sus productos y servicios son explotados en los ataques de Shinyhunters, es muy importante ser consciente de que Salesforce no tiene la culpa de ninguna manera. Las intrusiones no son el resultado de que se informó que falla por su parte o cualquier vulnerabilidad de día cero en su software. Salesforce no ha comentado ninguno de los ataques distintos acreditados para los brujos Shinyhunters, hacerlo explícitamente puede invitar a problemas legales en el futuro, pero ha reafirmado su orientación para sus usuarios sobre la protección de sus entornos. En el preámbulo de esta guía, la casa de software reconoció que Salesforce reconoció el uso de la aplicación de cargador de datos troyanizado en algunos casos. «La seguridad cibernética es una responsabilidad compartida entre un proveedor y sus clientes», escribió el equipo cibernético de la firma. «Si bien Salesforce genera seguridad de grado empresarial en cada parte de nuestra plataforma, los clientes juegan un papel vital en la protección de sus datos, especialmente en medio de un reciente aumento de sofisticados ataques de ingeniería social y ataques de phishing dirigidos a clientes de Salesforce». ¿Qué pasos puedo tomar ahora? En términos generales, la guía de Salesforce sobre la salvaguardia de los entornos de los clientes contra la amenaza de Shinyhunters se basa en mejores prácticas de seguridad cibernética y orientación establecida. El gigante del software ha establecido cinco pasos clave que sus clientes podrían y deberían estar tomando, si aún no lo han hecho: los clientes de Salesforce deben comenzar restringiendo los rangos de IP de inicio de sesión a su red Enterprise y VPN para asegurarse de que las IP no identificadas o no tenidas sean de acceso rotundamente o, en el menos desafiado. Si las circunstancias lo requieren, los administradores también pueden desear restringir las direcciones IP de inicio de sesión a nivel de perfil, lo que significa que los usuarios individuales solo pueden iniciar sesión en las direcciones IP permitidas. Los administradores deben adherirse al principio de las pautas de menor privilegio (POLP) por las cuales los usuarios reciben solo los permisos que necesitan para realizar sus trabajos, limitando su acceso a información confidencial; por ejemplo, no hay razón por la cual alguien en RRHH necesite ventas o datos de marketing. Su guía establece varios pasos que los administradores pueden dar bajo este paraguas, pero con respecto al cargador de datos específicamente, el número de usuarios que se permite importar, actualizar o eliminar registros debe restringirse. Los administradores deben establecer y hacer cumplir la MFA como algo natural. Incluso si los actores de amenaza pueden derrotarlo a través de la ingeniería social, sigue siendo una capa adicional útil de defensa, especialmente contra los ataques de phishing de Pure Play. Los administradores pueden considerar explorar la suite de herramientas de seguridad del escudo de seguridad de Salesforce, que incluye características como monitoreo de eventos, detección de amenazas, gestión de políticas de seguridad de transacciones y gestión de datos. Finalmente, Salesforce aconseja que todos los clientes de la firma y de nivel principal tengan un contacto de seguridad dedicado, mientras que se alienta a los usuarios estándar a mantener un sysadmin actual, para que sus equipos puedan comunicarse con la persona adecuada si identifica un incidente.