Google ha confirmado oficialmente un incidente de ciberseguridad crítico que resultó en la exposición de información confidencial de clientes de su plataforma publicitaria Google Ads. El ataque, perpetrado por el grupo de ciberdelincuentes ShinyHunters en junio de 2025, logró comprometer la infraestructura corporativa de Salesforce CRM, exponiendo aproximadamente 2.55 millones de registros con datos personales de empresas.
Técnicas de ingeniería social: el vishing como vector principal de ataque
Los atacantes, operando bajo las denominaciones UNC6040 y UNC6240 dentro del colectivo ShinyHunters, implementaron una estrategia sofisticada de ingeniería social para infiltrar los sistemas corporativos. La técnica predominante fue el vishing —una variante del phishing que utiliza comunicaciones telefónicas— diseñada específicamente para manipular psicológicamente a los empleados y obtener credenciales de acceso a sistemas críticos.
Esta metodología representa una evolución preocupante en las tácticas cibercriminales, donde los atacantes combinan reconocimiento previo de la organización objetivo con técnicas de manipulación psicológica avanzadas. Los expertos en ciberseguridad han observado un incremento del 40% en ataques de vishing durante 2024, según datos de la firma de seguridad Proofpoint.
Alcance y naturaleza de los datos comprometidos
La información expuesta en este incidente incluyó datos corporativos básicos de pequeñas y medianas empresas: nombres de compañías, números telefónicos de contacto y notas internas de los gestores de cuentas. Significativamente, Google confirmó que los datos más sensibles permanecieron seguros, incluyendo información de pagos, credenciales de cuentas Google Ads, datos de Merchant Center y métricas de Google Analytics.
El período de exposición fue limitado, ya que los sistemas de monitorización de Google detectaron la actividad anómala y bloquearon el acceso no autorizado en un plazo relativamente corto. Esta respuesta rápida minimizó significativamente el impacto potencial del incidente.
Demandas de rescate y motivaciones criminales
ShinyHunters inicialmente exigió un rescate de 20 bitcoins —aproximadamente 2.3 millones de dólares al tipo de cambio actual— a cambio de no divulgar públicamente los datos sustraídos. Sin embargo, posteriormente los miembros del grupo declararon que esta demanda tenía carácter provocativo, revelando la compleja estructura motivacional que caracteriza a las organizaciones cibercriminales contemporáneas.
Alianza estratégica: colaboración con Scattered Spider
Un desarrollo particularmente alarmante es la colaboración confirmada entre ShinyHunters y Scattered Spider, grupo especializado en obtener acceso inicial a infraestructuras corporativas. Esta alianza, operando bajo el nombre conjunto Sp1d3rHunters, representa una consolidación preocupante de capacidades criminales que amplifica significativamente las amenazas para la seguridad empresarial.
Campaña sistemática contra ecosistemas Salesforce
El ataque a Google forma parte de una campaña coordinada dirigida contra organizaciones que utilizan la plataforma Salesforce CRM. Entre las víctimas documentadas se encuentran corporaciones multinacionales como Adidas, la aerolínea Qantas, el grupo asegurador Allianz Life, las marcas de lujo LVMH (incluyendo Louis Vuitton, Dior y Tiffany & Co), el gigante tecnológico Cisco, la casa de moda Chanel y la joyería Pandora.
Esta concentración de ataques contra una plataforma tecnológica específica evidencia un enfoque estratégico deliberado por parte de los cibercriminales, quienes han identificado vulnerabilidades comunes en las configuraciones de seguridad de Salesforce CRM. Los analistas de ciberseguridad estiman que más de 150,000 organizaciones mundialmente podrían estar en riesgo debido a configuraciones similares.
Este incidente subraya la necesidad imperativa de implementar estrategias de ciberseguridad multicapa que trasciendan las soluciones técnicas tradicionales. Las organizaciones deben priorizar la formación continua de empleados en reconocimiento de técnicas de ingeniería social, establecer protocolos de verificación rigurosos para solicitudes de acceso y implementar autenticación multifactor robusta. La tendencia hacia ataques dirigidos contra plataformas CRM populares exige una reevaluación integral de las medidas de seguridad empresarial, especialmente en entornos de nube híbrida donde la superficie de ataque se expande considerablemente.
