AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

ShinyHunters vuelve a la carga: Salesforce y gigantes internacionales bajo amenaza por ataques de bajo perfil

admin

Introducción

El panorama de la ciberseguridad internacional vuelve a estar en alerta ante la reaparición de ShinyHunters, uno de los grupos de ciberdelincuentes más notorios de los últimos años. Tras sus sonados ataques en 2024, especialmente el incidente relacionado con Snowflake, la banda ha puesto en su punto de mira a Salesforce y, con técnicas de hacking de bajo perfil, ha conseguido comprometer la seguridad de empresas de la talla de Google, Cisco y Adidas. Estos incidentes no sólo ponen de manifiesto la sofisticación creciente de los actores de amenazas, sino también la vulnerabilidad de organizaciones que, a pesar de contar con importantes recursos en ciberseguridad, han caído ante técnicas aparentemente sencillas.

Contexto del Incidente

El grupo ShinyHunters se ha caracterizado por explotar vectores de ataque que, aunque no siempre novedosos, resultan extremadamente eficaces debido a deficiencias en la gestión de credenciales y la falta de segmentación adecuada en infraestructuras críticas. Tras el ataque a Snowflake en 2024, donde se vieron comprometidos datos de grandes clientes, el colectivo ha vuelto a escena en 2025 con un modus operandi basado en el acceso inicial a través de credenciales filtradas y técnicas de ingeniería social.

Salesforce, uno de los principales proveedores mundiales de soluciones CRM y servicios en la nube, ha sido el último objetivo confirmado. Sin embargo, las filtraciones también han afectado a gigantes como Google, Cisco y Adidas, lo que demuestra la amplitud y profundidad del impacto de estos ataques. Los primeros indicios apuntan a que ShinyHunters ha utilizado listas de credenciales expuestas en anteriores brechas, combinado con ataques de phishing dirigidos a personal con acceso privilegiado.

Detalles Técnicos

Los ataques atribuidos a ShinyHunters en 2025 se han desarrollado principalmente mediante técnicas de bajo perfil, centradas en la explotación de credenciales reutilizadas y la ausencia de autenticación multifactor (MFA) en determinados servicios críticos. Según los informes, las versiones afectadas incluyen implementaciones de Salesforce anteriores a la actualización de seguridad de marzo de 2025, así como instancias de servicios en la nube de Google y Cisco que no contaban con MFA habilitado por defecto.

El vector de ataque inicial ha sido la adquisición de credenciales a través de mercados clandestinos y foros de la dark web, así como el uso de spear phishing para obtener acceso a cuentas privilegiadas. Una vez dentro, los atacantes han empleado técnicas de movimiento lateral y escalada de privilegios (TTPs MITRE ATT&CK: T1078, T1086, T1059), con el objetivo de exfiltrar datos sensibles y obtener persistencia. En algunos casos, se han observado actividades de implantación de backdoors utilizando frameworks como Cobalt Strike y Metasploit, junto con la utilización de servicios legítimos dentro de las plataformas comprometidas para evadir la detección.

Entre los Indicadores de Compromiso (IoC) detectados destacan direcciones IP asociadas a nodos de salida de Tor, dominios recientemente registrados utilizados en campañas de phishing y hashes de archivos maliciosos utilizados para el despliegue de payloads en la infraestructura víctima.

Impacto y Riesgos

El impacto de los ataques de ShinyHunters es significativo tanto a nivel económico como reputacional. Se estima que, sólo en el caso de Salesforce, la fuga de datos podría afectar a más de 120.000 cuentas empresariales, incluyendo información confidencial de clientes y registros financieros. Para Google, Cisco y Adidas, el volumen de datos exfiltrados supera los 1,5 terabytes, incluyendo credenciales internas, planos de infraestructura y archivos de clientes estratégicos.

Desde el punto de vista regulatorio, estos incidentes suponen un claro incumplimiento de normativas como el GDPR y la directiva NIS2, exponiendo a las empresas afectadas a sanciones que podrían alcanzar hasta el 4% de su facturación anual. Además, los riesgos de ataques de ransomware posteriores, fraude interno y pérdida de confianza por parte de socios y clientes son elevadísimos.

Medidas de Mitigación y Recomendaciones

Ante este escenario, los expertos recomiendan una revisión urgente de la gestión de identidades y accesos (IAM), con énfasis en la obligatoriedad de MFA para todos los servicios críticos. Es esencial realizar auditorías periódicas de cuentas privilegiadas, eliminar credenciales obsoletas y monitorizar en tiempo real los accesos sospechosos. La implementación de herramientas de detección y respuesta gestionada (MDR) puede ser clave para identificar movimientos laterales y actividades anómalas en la red.

Asimismo, se aconseja reforzar la formación en ciberseguridad del personal, especialmente en lo relativo a la detección de correos de phishing y la gestión segura de contraseñas. Por último, la integración de soluciones de Threat Intelligence permitirá anticipar campañas de grupos como ShinyHunters y adaptar los controles defensivos de forma proactiva.

Opinión de Expertos

Analistas de Threat Intelligence consultados destacan que “la persistencia de técnicas de bajo perfil como factor de éxito en ataques a grandes corporaciones evidencia la necesidad de revisar no sólo las tecnologías, sino también los procesos y la cultura de seguridad”. Por su parte, CISOs de empresas afectadas señalan la importancia de “automatizar la rotación de credenciales y reforzar la segmentación de la red como medidas prioritarias frente a amenazas internas y externas”.

Implicaciones para Empresas y Usuarios

Para las organizaciones, estos ataques suponen un nuevo llamado de atención sobre la necesidad de invertir en controles básicos de seguridad, sin descuidar la formación y concienciación de sus empleados. Los usuarios finales, tanto corporativos como particulares, deben extremar la vigilancia sobre el uso de contraseñas y la activación de MFA en todos los servicios posibles.

Conclusiones

La reaparición de ShinyHunters y su capacidad para comprometer a gigantes internacionales mediante técnicas de bajo perfil pone de manifiesto que la ciberseguridad sigue siendo, ante todo, una cuestión de resiliencia y vigilancia continua. Las organizaciones deben combinar tecnología, procesos y formación para minimizar los riesgos y responder de forma eficaz ante incidentes cada vez más sofisticados y persistentes.

(Fuente: www.darkreading.com)