Google confirmó que un grupo de hackers comprometió información corporativa almacenada en Salesforce perteneciente a más de 200 empresas, en el marco de una intrusión que afectó a la cadena de proveedores.
22 de noviembre 2025 - 15:52
Hackeo global: Google confirmó el robo de datos a más de 200 compañías
El episodio afectó a la cadena de proveedores. La intrusión afectó directamente la información de Salesforce.
-
Dos juegos con más de una década de antigüedad fueron los más buscados en Google durante 2025
-
Google lanzó Gemini 3, su modelo más avanzado de inteligencia artificial
Google confirmó un nuevo hackeo a Salesforce.
El jueves, Salesforce reveló una filtración que alcanzó a “ciertos clientes”, sin identificar a las organizaciones afectadas. Los datos fueron sustraídos mediante aplicaciones desarrolladas por Gainsight, compañía que ofrece plataformas de atención al cliente.
En un comunicado, Austin Larsen, analista principal del Google Threat Intelligence Group, señaló que la firma “tiene conocimiento de más de 200 instancias de Salesforce potencialmente afectadas”.
La revelación derivó rápidamente en una reivindicación del ataque por parte del colectivo Scattered Lapsus$ Hunters, que incluye a la banda ShinyHunters, a través de su canal de Telegram, según consignó el medio TechCrunch.
La infiltración fue confirmada por un analista de Google.
Las empresas afectadas
El grupo se atribuyó ataques que supuestamente alcanzaron a Atlassian, CrowdStrike, Docusign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters y Verizon. Google evitó pronunciarse sobre víctimas específicas.
Desde CrowdStrike, su vocero Kevin Benacci afirmó que la firma “no se ve afectada por el problema de Gainsight y que todos los datos de los clientes permanecen seguros”. La empresa confirmó además el despido de un “empleado sospechoso” de filtrar información a los atacantes.
La vocera de Malwarebytes, Ashley Stewart, indicó que su equipo de seguridad “está investigando activamente el asunto”. Desde Thomson Reuters repitieron la misma postura: la compañía “está investigando activamente”.
Por su parte, Michael Adams, director de seguridad de DocuSign, aseguró que, tras revisar registros y realizar una investigación interna “no tenemos indicios de que los datos de DocuSign se hayan visto comprometidos por el momento”. Aun así, confirmó medidas preventivas: cancelación de las integraciones con Gainsight y contención de los flujos de datos involucrados.
Cómo sigue la investigación de los hackers
Salesforce comunicó el jueves que “no hay indicios de que este problema se deba a alguna vulnerabilidad en la plataforma de Salesforce”, buscando desligarse del incidente.
Gainsight habilitó una página de actualizaciones sobre la brecha y confirmó el viernes que trabaja junto a Mandiant, la unidad de respuesta a incidentes de Google, para investigar el ataque.
La empresa sostuvo que la filtración “se originó en la conexión externa de las aplicaciones, no en ningún problema o vulnerabilidad de la plataforma Salesforce”, y que se realiza un análisis forense independiente.
Salesforce, como medida preventiva, “revocó temporalmente los tokens de acceso activos para las aplicaciones conectadas a Gainsight”, según la página oficial del incidente, y se encuentra notificando a los clientes cuyos datos fueron robados.
Extorsión y nuevas campañas
El grupo Scattered Lapsus$ Hunters adelantó en su canal de Telegram que lanzará la próxima semana un sitio web de extorsión para presionar a las compañías afectadas. Ya había aplicado la misma estrategia en octubre, tras robar datos de Salesforce durante el episodio vinculado a Salesloft.
Este colectivo angloparlante reúne a varias bandas de ciberdelincuentes, entre ellas ShinyHunters, Scattered Spider y Lapsus$, conocidas por usar técnicas de ingeniería social para engañar a empleados y obtener acceso a sistemas internos.
En los últimos años, el grupo atacó a compañías de alto perfil como MGM Resorts, Coinbase y DoorDash, consolidándose como una de las amenazas más agresivas del panorama digital.
Dejá tu comentario