AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**ShinyHunters intensifica ataques de vishing para comprometer instancias de Salesforce y filtrar datos corporativos**

admin

### Introducción

En las últimas semanas, empresas de renombre internacional como Qantas, Allianz Life, LVMH y Adidas han sufrido importantes brechas de datos tras ataques dirigidos a sus plataformas de gestión de relaciones con clientes (CRM), concretamente Salesforce. Las investigaciones apuntan directamente al grupo de extorsión ShinyHunters, conocido por su evolución táctica y su capacidad para combinar técnicas de ingeniería social avanzadas con ciberataques a gran escala. Este nuevo modus operandi destaca por la utilización de voice phishing (vishing) para obtener credenciales y acceder a datos sensibles almacenados en instancias de Salesforce.

### Contexto del Incidente

ShinyHunters, activo desde 2020 y responsable de filtraciones masivas en plataformas como Tokopedia, Wattpad o Microsoft, ha centrado sus últimos esfuerzos en el sector corporativo, con especial atención a sistemas SaaS críticos. Entre marzo y mayo de 2024, la banda ha comprometido los sistemas CRM de al menos cuatro grandes multinacionales, con filtraciones de millones de registros de clientes, empleados y contratos.

El vector inicial en todos los incidentes analizados fue una campaña de vishing dirigida a personal con acceso privilegiado a Salesforce. Posteriormente, los atacantes emplearon técnicas de acceso remoto y exfiltración de datos, demandando rescates económicos sustanciales y amenazando con la publicación de la información robada en foros clandestinos.

### Detalles Técnicos

#### CVE, vectores de ataque y TTPs

Hasta la fecha, no se ha identificado una vulnerabilidad explotada directamente en Salesforce (sin CVE asignado), lo que refuerza la hipótesis de que la intrusión se basa en la explotación de credenciales legítimas obtenidas mediante ingeniería social.

El ataque se inicia mediante llamadas telefónicas cuidadosamente preparadas (vishing), en las que los atacantes se hacen pasar por soporte técnico de Salesforce o del propio departamento de TI de la empresa objetivo. Utilizan información recopilada en fuentes abiertas (OSINT) y, en ocasiones, datos previos de filtraciones para ganarse la confianza de la víctima. El objetivo es obtener credenciales o tokens de autenticación, y en algunos casos, persuadir a los usuarios de desactivar temporalmente el doble factor (MFA).

Una vez dentro, los actores de ShinyHunters emplean técnicas de movimiento lateral y escalada de privilegios. Se han observado patrones alineados con las técnicas MITRE ATT&CK TA0001 (Initial Access), T1566.002 (Spearphishing via Service), TA0006 (Credential Access) y TA0009 (Collection). Posteriormente, utilizan scripts personalizados y herramientas de automatización para exportar grandes volúmenes de datos desde Salesforce, aprovechando APIs legítimas.

Indicadores de Compromiso (IoC) identificados incluyen direcciones IP asociadas a VPNs comerciales y proxies residenciales, así como patrones de acceso inusuales a endpoints de Salesforce REST API en franjas horarias atípicas.

#### Herramientas empleadas

Hasta el momento, no se ha observado el uso directo de frameworks como Metasploit o Cobalt Strike en la post-explotación, dado que el acceso se realiza con credenciales legítimas y privilegios elevados. No obstante, ShinyHunters ha mostrado capacidad para desplegar scripts personalizados en Python y PowerShell para automatizar la extracción de datos.

### Impacto y Riesgos

El impacto de estas filtraciones es significativo, tanto desde una perspectiva reputacional como regulatoria. En el caso de Qantas, se estima que los datos de aproximadamente 2,5 millones de clientes se han visto comprometidos, afectando a históricos de vuelos, datos de contacto y programas de fidelización. Allianz Life y LVMH han confirmado la exfiltración de información financiera y contractual sensible, mientras que Adidas se enfrenta a la exposición de datos de empleados y estrategias comerciales.

Bajo el marco del GDPR y la inminente entrada en vigor de NIS2, las compañías afectadas podrían enfrentarse a sanciones millonarias, además de acciones legales colectivas por parte de clientes y socios de negocio. Según estimaciones del sector, el coste medio de un breach de estas características supera los 4,45 millones de dólares, sin contar el daño a la confianza del cliente ni la volatilidad bursátil asociada.

### Medidas de Mitigación y Recomendaciones

A la luz de estos incidentes, los expertos recomiendan:

– **Fortalecer los controles de acceso**: implementar políticas de MFA robustas y restringir el bypass de autenticación multifactor.
– **Formación continua en ingeniería social**: campañas periódicas de concienciación sobre vishing y phishing dirigidas a todos los niveles de la organización.
– **Monitorización y detección avanzada**: configurar alertas sobre accesos anómalos, uso intensivo de APIs y descargas masivas desde Salesforce.
– **Revisión de permisos y roles**: aplicar el principio de mínimo privilegio y realizar auditorías regulares de cuentas con acceso a datos sensibles.
– **Plan de respuesta específico para SaaS**: actualizar los playbooks de respuesta a incidentes para contemplar escenarios de acceso ilegítimo a plataformas cloud.

### Opinión de Expertos

Según Juan Antonio Martínez, CISO de una multinacional española del IBEX 35, “la sofisticación de los ataques de vishing exige una respuesta coordinada entre equipos de TI, RRHH y compliance. No basta con invertir en tecnología; la resiliencia depende en gran medida de la capacitación y la cultura corporativa.”

Desde el sector del pentesting, consultores como Ana Ramos advierten de que “los ataques a SaaS no requieren exploits técnicos complejos, sino la explotación de vulnerabilidades humanas. La visibilidad sobre el uso legítimo y anómalo de estas plataformas es esencial.”

### Implicaciones para Empresas y Usuarios

Estos incidentes subrayan la necesidad de endurecer las políticas de seguridad en plataformas SaaS y de revisar la exposición de datos sensibles en terceros proveedores. Las empresas deben considerar la segmentación de datos, el cifrado en reposo y la revisión contractual de acuerdos de procesamiento de datos según GDPR y NIS2.

Para los usuarios finales, la recomendación pasa por la vigilancia activa ante intentos de fraude y suplantación, especialmente si han sido clientes o empleados de las compañías afectadas.

### Conclusiones

La oleada de ataques liderada por ShinyHunters representa un cambio de paradigma en la amenaza sobre plataformas SaaS críticas como Salesforce. La combinación de vishing, abuso de credenciales legítimas y exfiltración masiva de datos exige un enfoque integral que combine tecnología, procesos y concienciación. Ante la sofisticación de estos grupos, la anticipación y la preparación serán clave para mitigar el impacto de futuras brechas.

(Fuente: www.bleepingcomputer.com)