Telus Digital, proveedor canadiense de Business Process Outsourcing (BPO) perteneciente al operador Telus, ha confirmado una grave brecha de datos tras un ciberataque atribuido al grupo ShinyHunters. Los atacantes aseguran haber exfiltrado casi un petabyte de información, lo que convierte este incidente en uno de los compromisos de proveedor BPO más significativos de los últimos años.
Ciberataque a Telus Digital: cronología y primeras confirmaciones
Telus Digital presta servicios de atención al cliente, moderación de contenido, implementación y soporte de soluciones de IA y operaciones de backoffice para organizaciones de todo el mundo. Este rol la convierte en un objetivo de alto valor: un único proveedor puede abrir la puerta a datos y sistemas de decenas de empresas.
Según información adelantada por Bleeping Computer, las primeras señales de posible intrusión surgieron en enero de 2026. Sin embargo, la compañía no emitió comentarios públicos hasta ahora, cuando ha reconocido un acceso no autorizado a un número limitado de sistemas y la puesta en marcha de una investigación forense con apoyo de especialistas externos y cuerpos de seguridad.
Telus Digital subraya que sus operaciones principales continúan activas y que la actividad maliciosa fue contenida. No obstante, el volumen de datos que ShinyHunters afirma haber robado apunta a un ataque prolongado, con varias fases de intrusión, movimiento lateral y exfiltración sistemática.
Vector de ataque: credenciales de Google Cloud y explotación de BigQuery
Uso de credenciales comprometidas de Google Cloud Platform
ShinyHunters afirma que el acceso inicial se obtuvo mediante credenciales de Google Cloud Platform (GCP) que ya estaban comprometidas en una filtración previa. Estas credenciales habrían sido extraídas de los datos robados en el incidente de Salesloft Drift, que derivó en fugas asociadas a Salesforce en unas 760 organizaciones, incluidos datos de tickets de soporte.
Investigadores de Mandiant habían alertado de que los conjuntos de datos robados en ataques como el de Salesloft Drift estaban siendo analizados de forma masiva en busca de cuentas de servicio, tokens de acceso y claves de API. Este tipo de “llaves maestras” suele convertirse en el punto de partida para ataques de cadena de suministro contra otras empresas y sus entornos en la nube.
Búsqueda de secretos con TruffleHog y expansión del acceso
Una vez dentro de la infraestructura en la nube de Telus Digital, incluidos instancias de BigQuery, los atacantes indican que utilizaron la herramienta de código abierto TruffleHog para detectar secretos expuestos en código y configuraciones: contraseñas, tokens y claves sensibles.
La combinación de grandes volúmenes de datos en la nube con gestión deficiente de secretos habría facilitado el movimiento lateral hacia otros sistemas internos y permitido la extracción progresiva de nuevos repositorios de información, sin activar de inmediato alertas críticas.
Alcance de la fuga de datos: casi 1 PB de información sensible
ShinyHunters asegura haber descargado casi un petabyte de datos pertenecientes tanto a Telus Digital como a numerosos clientes corporativos de sus servicios BPO. Bleeping Computer habría recibido una lista de 28 marcas afectadas, que no se ha publicado por falta de verificación independiente.
Entre los tipos de información supuestamente comprometidos destacan:
- registros de soporte al cliente y centros de llamadas;
- métricas de rendimiento y ratings de agentes;
- herramientas de IA para atención al cliente y sistemas antifraude;
- plataformas y datos de moderación de contenido;
- código fuente de sistemas internos;
- resultados de verificaciones de antecedentes (background checks), documentos financieros y datos de Salesforce;
- grabaciones de llamadas de soporte.
El ataque también habría alcanzado al negocio de telecomunicaciones de Telus, con robo de Call Detail Records (CDR) —metadatos de llamadas con horarios, duración, números implicados y parámetros de calidad—, así como grabaciones de voz y datos de campañas de marketing.
Ataque a la cadena de suministro y riesgos para clientes BPO
El incidente encaja en el patrón de ataque a la cadena de suministro (supply chain attack): al comprometer a un gran proveedor BPO, los atacantes pueden impactar indirectamente a docenas de organizaciones que le delegan acceso a clientes, sistemas de facturación y plataformas de autenticación.
De acuerdo con el Verizon Data Breach Investigations Report 2024, el abuso de credenciales sigue siendo uno de los vectores más comunes en brechas de datos. El caso de Telus Digital ilustra esta realidad: credenciales de nube ya filtradas permitieron sortear controles perimetrales tradicionales y operar directamente dentro del entorno de GCP.
Extorsión de datos y tendencias en cibercrimen
ShinyHunters afirma que en febrero de 2026 intentó extorsionar a Telus solicitando 65 millones de dólares a cambio de no publicar los datos. Según el grupo, la empresa no respondió a las demandas. Este modelo, basado en la extorsión sin cifrado (data extortion), refleja una tendencia creciente: la amenaza de divulgar información sensible puede causar un daño reputacional y regulatorio comparable al de un ransomware tradicional.
Lecciones de ciberseguridad para organizaciones y proveedores BPO
El ciberataque a Telus Digital pone de relieve la necesidad de un gobierno robusto de identidades, secretos y accesos en la nube, especialmente en modelos BPO y entornos multicliente. Entre las prácticas prioritarias destacan:
- Higiene estricta de credenciales: rotación periódica de contraseñas y claves, eliminación de secretos en código, uso de servicios de gestión de secretos en GCP, AWS o Azure.
- Autenticación multifactor (MFA) en cuentas de alto riesgo y para operaciones sensibles.
- Principio de mínimo privilegio y segmentación: limitar permisos de cuentas de servicio y aislar proyectos de BigQuery y otros recursos críticos.
- Monitorización continua y auditoría: detección de anomalías en accesos a la nube, registros de BigQuery y actividades de exfiltración.
- Gestión de riesgo de terceros: incluir a proveedores BPO y contact centers en auditorías de seguridad, pruebas de estrés y requisitos de Zero Trust.
La magnitud de la fuga atribuida a ShinyHunters demuestra que la seguridad ya no puede limitarse a la organización propia: debe abarcar a toda la cadena de suministro digital. Revisar contratos con proveedores, exigir controles de ciberseguridad verificables, implantar Zero Trust y formar a los equipos en buenas prácticas de nube son pasos esenciales para reducir el impacto de futuros incidentes. Las empresas que dependan de servicios BPO y cloud deberían aprovechar este caso como catalizador para evaluar sus exposiciones actuales y reforzar, desde hoy, sus defensas técnicas, organizativas y contractuales.
