AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Hackers se hacen pasar por ShinyHunters para robar datos en Salesforce mediante ataques de ingeniería social

admin

Introducción

En las últimas semanas, Google ha detectado un aumento significativo en campañas de ingeniería social dirigidas a multinacionales, con el objetivo de comprometer información almacenada en plataformas Salesforce. Los ataques, atribuidos a actores que se identifican como el grupo de extorsión ShinyHunters, suponen una amenaza avanzada que aprovecha la confianza en la cadena de suministro y la falta de visibilidad sobre accesos privilegiados en entornos SaaS. Este artículo analiza el contexto, los detalles técnicos y las implicaciones de esta campaña, así como las mejores prácticas para mitigar el riesgo en organizaciones que utilizan Salesforce como núcleo de operaciones comerciales.

Contexto del Incidente

ShinyHunters es un conocido grupo de cibercrimen especializado en robo de datos y extorsión, activo desde al menos 2020 y responsable de numerosas filtraciones de alto perfil. Sin embargo, según el equipo de inteligencia de amenazas de Google, los recientes ataques no necesariamente provienen de los miembros originales, sino de actores que emplean su reputación y modus operandi para generar credibilidad y aumentar la presión sobre las víctimas.

Estos ataques se han dirigido principalmente a grandes corporaciones con presencia internacional y dependientes de Salesforce para la gestión de clientes, ventas y operaciones. El vector inicial de acceso es la ingeniería social, mediante la suplantación de empleados, proveedores o servicios de soporte legítimos, con el objetivo de obtener credenciales o tokens de acceso a las plataformas de Salesforce.

Detalles Técnicos

Los atacantes se apoyan en técnicas avanzadas de ingeniería social, incluyendo spear phishing dirigido a empleados con privilegios elevados o acceso a información sensible en Salesforce. Las campañas identificadas muestran correos electrónicos y llamadas telefónicas cuidadosamente elaboradas, en las que los atacantes simulan incidencias técnicas o auditorías de seguridad para persuadir a los usuarios a compartir credenciales o realizar acciones específicas.

No se ha identificado un CVE concreto explotado en este tipo de incidentes, ya que el vector principal es el factor humano. No obstante, se han observado intentos de explotación de configuraciones débiles, como el uso de autenticación básica, falta de MFA (autenticación multifactor) y la ausencia de políticas de revisión de permisos en Salesforce.

En cuanto a TTPs (Tácticas, Técnicas y Procedimientos) según MITRE ATT&CK, destacan las siguientes:

– Spear Phishing (T1566.001)
– Suplantación de Identidad (T1589)
– Abuso de credenciales válidas (T1078)
– Exfiltración de datos a través de APIs (T1041)

Indicadores de Compromiso (IoC) incluyen dominios y direcciones IP de infraestructura conocidos de ShinyHunters, así como patrones de acceso anómalos a instancias de Salesforce, especialmente desde ubicaciones geográficas inusuales o a horas no habituales.

Aunque no se han reportado exploits públicos específicos, se ha observado el uso de frameworks como Metasploit para pruebas de escalado de privilegios en entornos Windows conectados a Salesforce, y herramientas automatizadas para la extracción masiva de datos vía API.

Impacto y Riesgos

El impacto de estos ataques puede ser devastador. Salesforce suele almacenar información crítica sobre clientes, contratos, procesos internos y datos financieros. La exfiltración de estos datos no solo expone a las empresas a chantajes y pérdidas económicas (en algunos casos, las demandas de rescate han superado los 500.000 dólares), sino que también desencadena obligaciones legales bajo normativas como GDPR o la inminente NIS2, que pueden acarrear multas de hasta el 4% de la facturación global.

Además, la filtración de estos datos puede facilitar fraudes adicionales, campañas de phishing secundarias y un daño reputacional difícilmente cuantificable.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo de estos ataques, los expertos recomiendan:

– Habilitar MFA en todas las cuentas, especialmente para administradores y usuarios con acceso privilegiado.
– Auditar y reducir los permisos excesivos en Salesforce, aplicando el principio de mínimo privilegio.
– Monitorizar accesos sospechosos y configurar alertas ante actividades inusuales, empleando soluciones SIEM integradas con Salesforce.
– Realizar simulaciones periódicas de ataques de ingeniería social y concienciar a los empleados sobre las nuevas tácticas de suplantación.
– Revisar logs de acceso y exportaciones de datos, prestando especial atención a descargas masivas o accesos desde IPs no habituales.
– Establecer procedimientos internos para la verificación de solicitudes inusuales relativas a cuentas o accesos.

Opinión de Expertos

Analistas de Google Threat Intelligence subrayan que el auge de los ataques SaaS refleja una tendencia creciente: “Las organizaciones tienden a confiar en la seguridad nativa de plataformas como Salesforce, subestimando los riesgos derivados de la ingeniería social y una mala gestión de privilegios”. Por su parte, consultores de ciberseguridad destacan la importancia de la formación continua de empleados y la integración de la respuesta a incidentes en la estrategia general de protección de datos.

Implicaciones para Empresas y Usuarios

Para las empresas, el incidente pone de manifiesto la necesidad de adoptar una postura de seguridad proactiva, que vaya más allá de la protección perimetral tradicional y abarque la seguridad en la nube y la concienciación interna. Los usuarios finales también deben extremar la precaución ante solicitudes inusuales y validar siempre la legitimidad de cualquier comunicación que involucre accesos o cambios en sistemas críticos.

Conclusiones

El uso del nombre ShinyHunters en campañas de ingeniería social dirigidas a Salesforce representa una evolución significativa en los métodos de ataque contra entornos SaaS. Ante la sofisticación y el potencial impacto de estas amenazas, las organizaciones deben reforzar sus controles, auditar sus plataformas y formar a sus empleados para responder ante el nuevo panorama de riesgos.

(Fuente: www.bleepingcomputer.com)