AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**El grupo ShinyHunters filtra datos de 13,5 millones de cuentas tras comprometer Salesforce de McGraw Hill**

admin

### 1. Introducción

El panorama de amenazas sigue mostrando una preocupante tendencia hacia ataques de extorsión basados en filtraciones masivas de datos. El grupo de ciberdelincuentes conocido como ShinyHunters ha reivindicado recientemente la filtración de información perteneciente a unos 13,5 millones de cuentas de usuarios de la editorial educativa McGraw Hill. Este incidente, que se remonta a una intrusión en su entorno Salesforce a principios de mes, pone de manifiesto los riesgos crecientes asociados a la gestión de datos en plataformas SaaS y la urgente necesidad de robustecer las estrategias de defensa en organizaciones con grandes volúmenes de información sensible.

### 2. Contexto del Incidente

El ataque se produjo a través de una brecha en la instancia de Salesforce utilizada por McGraw Hill, plataforma clave para la gestión de relaciones con clientes y estudiantes. Salesforce, por su naturaleza multiusuario y su integración con múltiples sistemas, representa un objetivo prioritario para los actores de amenazas que buscan maximizar el impacto de sus operaciones. ShinyHunters, grupo vinculado anteriormente a campañas de robo y venta de grandes bases de datos, ha publicado los registros obtenidos en foros de la dark web, siguiendo su habitual modelo de doble extorsión.

La exposición de datos afecta a usuarios de múltiples regiones, incluyendo cuentas de estudiantes, profesores y empleados administrativos, lo que incrementa la criticidad del incidente tanto desde una perspectiva de cumplimiento normativo como de reputación empresarial.

### 3. Detalles Técnicos

El grupo ShinyHunters ha explotado una vulnerabilidad en la configuración y protección de la instancia Salesforce de McGraw Hill. Aunque aún no se ha confirmado el CVE específico, las investigaciones preliminares apuntan a posibles fallos en la gestión de credenciales o en la configuración de permisos (prácticas como el uso de credenciales por defecto o la ausencia de MFA).

#### Vectores de ataque

– **Acceso no autorizado a Salesforce**: Mediante credenciales filtradas o técnicas de phishing.
– **Escalada de privilegios**: Aprovechando roles excesivamente permisivos o errores en la segmentación de usuarios.
– **Exfiltración masiva de datos**: Utilizando scripts automatizados para exportar grandes volúmenes de información.

#### TTP (MITRE ATT&CK)

– **Initial Access**: Phishing (T1566.001), explotación de credenciales (T1078).
– **Privilege Escalation**: Abuse Elevation Control Mechanism (T1548).
– **Data Exfiltration**: Exfiltration Over Web Service (T1567.002).
– **Impact**: Data Manipulation (T1565).

#### Indicadores de Compromiso (IoC)

– Accesos inusuales a la API de Salesforce desde rangos de IP anómalos.
– Descargas masivas (Data Export) fuera de ventanas operativas habituales.
– Creación o modificación de cuentas de servicio no autorizadas.

### 4. Impacto y Riesgos

La filtración afecta a aproximadamente 13,5 millones de cuentas, comprometiendo información personal identificable (PII) como nombres, direcciones de correo electrónico, hashes de contraseñas, datos de contacto, historial académico y posiblemente detalles financieros asociados a pagos o suscripciones.

El impacto potencial incluye:

– **Suplantación de identidad y phishing dirigido**: Los datos filtrados pueden facilitar campañas de spear phishing o ataques de ingeniería social.
– **Riesgos de cumplimiento**: Incumplimiento de normativas como GDPR (para usuarios europeos) y NIS2, con posibles sanciones económicas que pueden superar el 4% del volumen de negocio anual.
– **Daño reputacional**: Pérdida de confianza de clientes institucionales y particulares, afectando la posición competitiva de McGraw Hill.
– **Venta y reutilización de credenciales**: Utilización de los datos en ataques de credential stuffing contra otros servicios.
– **Impacto económico**: El coste medio de una brecha de estas características supera los 4 millones de dólares según el último informe de IBM/Ponemon Institute.

### 5. Medidas de Mitigación y Recomendaciones

Para contener y mitigar el impacto de este incidente, se recomienda:

– **Revisión y refuerzo de la configuración de Salesforce**: Auditoría de roles, permisos y accesos.
– **Rotación inmediata de credenciales**: Tanto de usuarios como de integraciones API.
– **Implementación de MFA obligatoria**: Para todos los usuarios y servicios conectados a Salesforce.
– **Monitorización de accesos y actividades inusuales**: Uso de SIEM para detección de patrones anómalos y correlación de eventos.
– **Notificación y soporte a los usuarios afectados**: Según las exigencias de GDPR y otras normativas aplicables.
– **Simulacros de respuesta ante incidentes**: Evaluación y mejora de los planes IR y comunicación de crisis.

### 6. Opinión de Expertos

Especialistas en ciberseguridad destacan que la creciente dependencia de plataformas SaaS, como Salesforce, exige una vigilancia continua y una gestión proactiva de la superficie de exposición. Según Marta Gutiérrez, CISO en una multinacional del sector educativo, «la seguridad en entornos SaaS debe abordarse con el mismo rigor que en la infraestructura on-premise, especialmente en lo relativo a la gestión de identidades y el control de accesos granulares».

Por su parte, analistas SOC advierten sobre la proliferación de ataques dirigidos a plataformas cloud, subrayando la importancia de combinar controles técnicos con procesos de concienciación del usuario final.

### 7. Implicaciones para Empresas y Usuarios

Las organizaciones que utilicen Salesforce o plataformas similares deben revisar sus políticas de acceso y protección de datos, implementando controles avanzados como DLP, segmentación de redes y cifrado de información sensible. Para los usuarios, la principal recomendación es modificar contraseñas, activar MFA y mantenerse alerta ante posibles intentos de phishing o fraude.

A nivel de cumplimiento, las empresas deben estar preparadas para responder a requerimientos de autoridades reguladoras y comunicar de forma transparente las medidas adoptadas para minimizar el daño.

### 8. Conclusiones

El incidente sufrido por McGraw Hill ilustra la sofisticación y el alcance de las actuales campañas de extorsión cibernética. La filtración de millones de registros sensibles confirma la urgencia de adoptar una postura de seguridad en profundidad, especialmente en entornos SaaS. La combinación de controles técnicos, formación y respuesta coordinada será clave para limitar el impacto y proteger la confianza de usuarios y clientes.

(Fuente: www.bleepingcomputer.com)