Golpe vishing a Salesforce alcanza a Google

Introducción
¿Te llamarías a ti mismo para robarte? Eso, en esencia, es lo que logró ShinyHunters: convencer por teléfono a empleados de grandes compañías para que abrieran la puerta a su propio CRM. Y sí, Google está en la lista.

En junio de 2025, la compañía confirmó que una instancia corporativa de Salesforce fue comprometida con una campaña de vishing. Los atacantes se llevaron datos básicos de clientes —en su mayoría pymes—: nombres comerciales, emails y notas de contacto. Puede sonar menor, pero ojo con esto: es la llave para otros ataques más serios.

Contexto rápido
ShinyHunters (también identificado como UNC6040) lleva meses haciendo lo mismo a escala: llamar, suplantar a soporte de TI, pedir que autorices una app conectada “de confianza” y, una vez dentro, usar herramientas tipo Data Loader (o versiones falsas) para exfiltrar CRM como si fuera exportar a CSV. No es solo Google; reportes públicos mencionan a Adidas, Louis Vuitton, Chanel, Allianz Life, Qantas o Pandora entre los salpicados. Y aquí viene lo bueno: el problema no es Salesforce como software, es cómo lo usamos y quién responde el teléfono.

Sección 1: Qué pasó exactamente y por qué importa
El ataque no fue un 0‑day glamuroso. Fue psicología aplicada:

• Vishing con guion: llamadas que imitan a soporte interno, urgencia creíble, jerga correcta, acento cercano.
• Autorización de apps conectadas: piden aprobar una integración OAuth “para resolver el incidente”.
• Exfiltración silenciosa: automatizan exportaciones con scripts y un Data Loader adulterado.

En el caso de Google, lo sustraído fue información de contacto y notas relacionadas con pymes. “Solo datos básicos”, pensarás. Pero la realidad es menos amable: con eso alimentas spear‑phishing, fraudes de facturación y robos de sesión en cadena. Es como robar el directorio del edificio: no es la caja fuerte, pero sí el mapa para timbrar puerta por puerta.

Mini‑resumen: El vector no fue técnico, fue humano. Un CRM mal vigilado se vuelve megáfono de futuros fraudes.

Sección 2: La evolución del atacante
ShinyHunters no improvisa. Ha afinado su kit con:

• Automatización: scripts para extraer objetos estándar (Accounts, Contacts, Opportunities) y personalizados a ritmo industrial.
• Ofuscación: uso combinado de VPN y Tor para camuflar orígenes; imposible fiarse solo del “IP reputation”.
• Phishing a MFA: proxys reversos y capturas de tokens para saltarse MFA clásico por OTP o push.

Piensa en esto como un atraco moderno a un banco sin bóveda física: no perforan paredes, persuaden a quien tiene la tarjeta. Por cierto, si tu MFA depende de códigos por SMS, estás dejando la ventana abierta con mosquitero.

Mini‑resumen: No buscan vulnerabilidades exóticas; industrializan la ingeniería social y el abuso de OAuth.

Sección 3: Cómo blindar tu Salesforce sin matar la productividad
Si administras un CRM, el aprendizaje es incómodo pero accionable. Te dejo un check‑list práctico (y realista):

• Lista de permitidos para OAuth: restringe Connected Apps a un allowlist firmado por tu equipo. Bloquea todo lo demás por defecto.
• MFA resistente a phishing: FIDO2/WebAuthn (llaves físicas o Passkeys). Menos OTP por SMS, menos push sin contexto.
• SSO + políticas adaptativas: condiciona acceso por rol, dispositivo gestionado, geolocalización y riesgo. Si no es SSO, no entra a producción.
• Control de sesiones: límites de tiempo y revocación inmediata ante cambios sensibles (nuevas apps, nuevos permisos).
• Alerta de exfiltración: umbrales y detección para exportaciones masivas, objetos sensibles y picos inusuales de API.
• IP allowlist por perfil: no es bala de plata, pero reduce superficie.
• Data minimization: si no necesitas notas con datos personales, no las guardes. Menos datos, menos dolor.
• Entrenamiento de voz: runbooks de verificación: ante una llamada de “TI”, el empleado corta y devuelve la llamada a un número interno oficial. Sin excepciones.

Escenario de mesa (30 minutos al mes): simula la llamada del “soporte de Salesforce”. El analista pide autorizar una app urgente. ¿Tu equipo sabe cómo verificar el ticket, rechazar la app y escalar al SOC? Repite hasta que la respuesta sea automática.

Señales tempranas a vigilar

• Apps conectadas nuevas con amplios scopes fuera de horario.
• Exportaciones repetidas de objetos completos en horas.
• Inicios desde ASN desconocidos aunque pasen por VPN “limpias”.
• Usuarios sin historial tocando perfiles o permisos.

Mini‑resumen: La defensa vive en tres capas: gobernanza de OAuth, MFA anti‑phishing y hábitos de verificación por voz.

Cierre narrativo
Me quedo con esta idea: el CRM es tu memoria comercial, no tu libreta de teléfonos. Trátalo como infraestructura crítica. Si ShinyHunters puede convencer a alguien en Google, cualquiera puede caer un lunes con prisa. La próxima vez que suene el teléfono y te pidan “autorizar una app para arreglarlo ya”, recuerda: la urgencia es el truco. Respira, verifica, y solo entonces pulsa aceptar.

El ataque no fue magia, fue método: voz, OAuth y automatización. Fortalece MFA, controla apps conectadas y entrena a tu gente. El CRM no perdona improvisaciones.

Introducción
¿Te llamarías a ti mismo para robarte? Eso, en esencia, es lo que logró ShinyHunters: convencer por teléfono a empleados de grandes compañías para que abrieran la puerta a su propio CRM. Y sí, Google está en la lista.

En junio de 2025, la compañía confirmó que una instancia corporativa de Salesforce fue comprometida con una campaña de vishing. Los atacantes se llevaron datos básicos de clientes —en su mayoría pymes—: nombres comerciales, emails y notas de contacto. Puede sonar menor, pero ojo con esto: es la llave para otros ataques más serios.

Contexto rápido
ShinyHunters (también identificado como UNC6040) lleva meses haciendo lo mismo a escala: llamar, suplantar a soporte de TI, pedir que autorices una app conectada “de confianza” y, una vez dentro, usar herramientas tipo Data Loader (o versiones falsas) para exfiltrar CRM como si fuera exportar a CSV. No es solo Google; reportes públicos mencionan a Adidas, Louis Vuitton, Chanel, Allianz Life, Qantas o Pandora entre los salpicados. Y aquí viene lo bueno: el problema no es Salesforce como software, es cómo lo usamos y quién responde el teléfono.

Sección 1: Qué pasó exactamente y por qué importa
El ataque no fue un 0‑day glamuroso. Fue psicología aplicada:

• Vishing con guion: llamadas que imitan a soporte interno, urgencia creíble, jerga correcta, acento cercano.
• Autorización de apps conectadas: piden aprobar una integración OAuth “para resolver el incidente”.
• Exfiltración silenciosa: automatizan exportaciones con scripts y un Data Loader adulterado.

En el caso de Google, lo sustraído fue información de contacto y notas relacionadas con pymes. “Solo datos básicos”, pensarás. Pero la realidad es menos amable: con eso alimentas spear‑phishing, fraudes de facturación y robos de sesión en cadena. Es como robar el directorio del edificio: no es la caja fuerte, pero sí el mapa para timbrar puerta por puerta.

Mini‑resumen: El vector no fue técnico, fue humano. Un CRM mal vigilado se vuelve megáfono de futuros fraudes.

Sección 2: La evolución del atacante
ShinyHunters no improvisa. Ha afinado su kit con:

• Automatización: scripts para extraer objetos estándar (Accounts, Contacts, Opportunities) y personalizados a ritmo industrial.
• Ofuscación: uso combinado de VPN y Tor para camuflar orígenes; imposible fiarse solo del “IP reputation”.
• Phishing a MFA: proxys reversos y capturas de tokens para saltarse MFA clásico por OTP o push.

Piensa en esto como un atraco moderno a un banco sin bóveda física: no perforan paredes, persuaden a quien tiene la tarjeta. Por cierto, si tu MFA depende de códigos por SMS, estás dejando la ventana abierta con mosquitero.

Mini‑resumen: No buscan vulnerabilidades exóticas; industrializan la ingeniería social y el abuso de OAuth.

Sección 3: Cómo blindar tu Salesforce sin matar la productividad
Si administras un CRM, el aprendizaje es incómodo pero accionable. Te dejo un check‑list práctico (y realista):

• Lista de permitidos para OAuth: restringe Connected Apps a un allowlist firmado por tu equipo. Bloquea todo lo demás por defecto.
• MFA resistente a phishing: FIDO2/WebAuthn (llaves físicas o Passkeys). Menos OTP por SMS, menos push sin contexto.
• SSO + políticas adaptativas: condiciona acceso por rol, dispositivo gestionado, geolocalización y riesgo. Si no es SSO, no entra a producción.
• Control de sesiones: límites de tiempo y revocación inmediata ante cambios sensibles (nuevas apps, nuevos permisos).
• Alerta de exfiltración: umbrales y detección para exportaciones masivas, objetos sensibles y picos inusuales de API.
• IP allowlist por perfil: no es bala de plata, pero reduce superficie.
• Data minimization: si no necesitas notas con datos personales, no las guardes. Menos datos, menos dolor.
• Entrenamiento de voz: runbooks de verificación: ante una llamada de “TI”, el empleado corta y devuelve la llamada a un número interno oficial. Sin excepciones.

Escenario de mesa (30 minutos al mes): simula la llamada del “soporte de Salesforce”. El analista pide autorizar una app urgente. ¿Tu equipo sabe cómo verificar el ticket, rechazar la app y escalar al SOC? Repite hasta que la respuesta sea automática.

Señales tempranas a vigilar

• Apps conectadas nuevas con amplios scopes fuera de horario.
• Exportaciones repetidas de objetos completos en horas.
• Inicios desde ASN desconocidos aunque pasen por VPN “limpias”.
• Usuarios sin historial tocando perfiles o permisos.

Mini‑resumen: La defensa vive en tres capas: gobernanza de OAuth, MFA anti‑phishing y hábitos de verificación por voz.

Cierre narrativo
Me quedo con esta idea: el CRM es tu memoria comercial, no tu libreta de teléfonos. Trátalo como infraestructura crítica. Si ShinyHunters puede convencer a alguien en Google, cualquiera puede caer un lunes con prisa. La próxima vez que suene el teléfono y te pidan “autorizar una app para arreglarlo ya”, recuerda: la urgencia es el truco. Respira, verifica, y solo entonces pulsa aceptar.

El ataque no fue magia, fue método: voz, OAuth y automatización. Fortalece MFA, controla apps conectadas y entrena a tu gente. El CRM no perdona improvisaciones.