Robo de datos en Salesforce: ShinyHunters extorsiona a grandes empresas

En el panorama de la ciberseguridad actual, donde las defensas perimetrales se han vuelto más sofisticadas, los atacantes han cambiado su enfoque. La noticia de este 12 de abril de 2026 sobre la extorsión de ShinyHunters a corporaciones de alto perfil —incluyendo Rockstar Games, Abrigo y Marcus & Millichap— no es un incidente aislado; es la culminación de una estrategia deliberada y altamente efectiva. El grupo ha capitalizado una vulnerabilidad fundamental en la arquitectura de trabajo moderna: la confianza depositada en entornos SaaS (Software as a Service) como Salesforce.

La amenaza es clara: el robo de datos a gran escala mediante el abuso de funciones legítimas. Con más de 30 millones de registros sustraídos solo en el caso de Marcus & Millichap, ShinyHunters demuestra que no necesitan romper una puerta blindada cuando pueden engañar a un usuario para que les entregue la llave. Esta nueva realidad exige una revisión profunda de cómo las organizaciones gestionan el acceso, la identidad y las integraciones de terceros en sus ecosistemas de nube.

La anatomía del ataque: Ingeniería social y abuso de OAuth

A diferencia de los ataques de ransomware tradicionales que cifran datos para inhabilitar operaciones, la táctica de ShinyHunters (también identificada en la inteligencia de amenazas como el clúster UNC6040) se centra en la exfiltración silenciosa. El grupo ha perfeccionado un modelo de ataque que evita casi por completo la explotación de vulnerabilidades de software (zero-days), centrándose en manipular el factor humano y la confianza de las aplicaciones conectadas.

La técnica predominante, que ha afectado a cientos de organizaciones desde finales de 2025, se basa en dos pilares fundamentales:

• Vishing (Phishing de voz): Los atacantes contactan a empleados corporativos, a menudo haciéndose pasar por soporte técnico de IT. Con un nivel de profesionalismo alarmante, engañan a las víctimas para que realicen acciones “necesarias” para resolver una incidencia técnica ficticia.
• Abuso de OAuth: Durante este proceso, se instruye al empleado para que autorice una “aplicación de utilidad” o un conector de datos en Salesforce. En realidad, están otorgando acceso mediante tokens OAuth a una aplicación controlada por el atacante.

Una vez que el token de acceso es generado y otorgado, el atacante obtiene una vía directa a la API de Salesforce. Esta vía es particularmente peligrosa porque, al tratarse de un token legítimo, las consultas de datos exfiltrados se mezclan con el tráfico operativo normal, dificultando enormemente su detección por las herramientas de seguridad convencionales que buscan comportamientos anómalos de inicio de sesión.

El asalto a Salesforce Experience Cloud

Además de la suplantación, el grupo ha sido vinculado a la explotación de configuraciones incorrectas en Salesforce Experience Cloud (anteriormente Community Cloud). Los atacantes han utilizado versiones modificadas de herramientas de auditoría legítimas, como AuraInspector, para escanear internet en busca de instancias configuradas con ajustes de “invitado” (guest user) demasiado permisivos.

En estos escenarios, los atacantes aprovechan la falta de controles estrictos sobre qué objetos y campos de la base de datos están expuestos al perfil de usuario invitado. Al automatizar consultas a través del endpoint /s/sfsites/aura, los atacantes logran extraer volúmenes masivos de datos corporativos y PII (información de identificación personal) directamente de portales que la empresa creía que estaban protegidos.

El impacto del “pay or leak” en la reputación corporativa

La estrategia de “pay or leak” (pagar o filtrar) es una herramienta de presión psicológica intensa. Al listar a empresas como Rockstar Games en su portal de extorsión, ShinyHunters no solo busca un beneficio económico inmediato, sino que utiliza el nombre de marcas reconocidas para validar su credibilidad ante otros objetivos futuros. Para las empresas, las consecuencias son devastadoras:

1. Daño reputacional: La pérdida de confianza del cliente es, a menudo, más costosa que el propio rescate.
2. Implicaciones legales y regulatorias: La exposición de millones de registros de PII activa leyes de protección de datos (como GDPR o normativas locales en Latinoamérica) que conllevan multas millonarias y auditorías obligatorias.
3. Fugas de propiedad intelectual: El acceso a datos internos puede incluir planes de desarrollo, comunicaciones confidenciales y estrategias de mercado, comprometiendo la ventaja competitiva de la organización.

Cómo defenderse: Una estrategia de resiliencia ante el robo de datos

La lección de los ataques de ShinyHunters es que la seguridad en la nube no se puede externalizar completamente al proveedor del servicio. Aunque Salesforce mantenga una infraestructura sólida, la responsabilidad sobre la configuración, el control de identidades y la higiene de las aplicaciones conectadas recae sobre la organización cliente.

Para mitigar eficazmente el riesgo de robo de datos, las empresas deben adoptar un enfoque de “Defensa en Profundidad” para sus entornos SaaS:

1. Gobernanza de Aplicaciones Conectadas (OAuth)

No permita que los usuarios finales autoricen aplicaciones conectadas de forma indiscriminada. Implemente una política de aprobación donde las integraciones de terceros deban pasar por una revisión de seguridad y ser aprobadas explícitamente por el departamento de IT antes de ser autorizadas mediante OAuth.

2. Auditoría de Configuraciones de Experience Cloud

Realice auditorías periódicas de los perfiles de usuario invitado. Asegúrese de que el principio de menor privilegio esté aplicado: los usuarios invitados solo deben tener acceso a la información mínima necesaria para sus funciones. Utilice herramientas oficiales para verificar la exposición de objetos y campos de Salesforce.

3. Capacitación contra la Ingeniería Social

Dado que el vishing es el vector de entrada principal, los programas de concienciación deben evolucionar. El personal técnico y los usuarios con acceso a CRM deben ser capacitados específicamente en tácticas de vishing, enfatizando que ningún departamento de soporte legítimo solicitará que se autorice una aplicación externa mediante un flujo de OAuth durante una llamada telefónica.

4. Monitoreo Avanzado y CASB

La implementación de un CASB (Cloud Access Security Broker) es crucial en entornos híbridos y en la nube. Un CASB permite visibilidad sobre qué aplicaciones tienen acceso a los datos de la empresa, monitorea patrones de API inusuales y puede bloquear comportamientos sospechosos, como la exfiltración masiva de datos fuera del horario laboral o desde ubicaciones geográficas anómalas.

Conclusión: La nueva realidad del entorno empresarial

El caso de ShinyHunters no representa una falla técnica de Salesforce, sino una evolución en la sofisticación de los actores de amenazas que han aprendido a vivir de la “tierra” (living off the land), aprovechando los mismos mecanismos diseñados para la productividad corporativa. En un mundo donde la frontera digital se ha desvanecido, la protección de los datos ya no depende únicamente de firewalls y antivirus, sino de una cultura de seguridad robusta y controles de identidad granulares.

Para las corporaciones actuales, la pregunta ya no es si serán blanco de estos ataques, sino qué tan preparada está su arquitectura para resistir el impacto cuando el atacante intente, inevitablemente, tocar a su puerta. La seguridad en la era del SaaS requiere vigilancia constante, políticas de acceso estrictas y, sobre todo, la comprensión de que el eslabón más vulnerable —la identidad del usuario— debe ser el punto más reforzado de nuestra defensa.