Un incidente de seguridad confirmado por Google ha puesto el foco en el hackeo masivo de Gmail: ciberdelincuentes accedieron a una base de datos corporativa alojada en Salesforce y utilizaron la información para potenciar estafas y suplantaciones. Aunque no se filtraron contraseñas, el volumen de direcciones expuestas sitúa a millones de usuarios en el radar del fraude.
La compañía detalló que los atacantes, asociados a UNC6040/ShinyHunters, emplearon tácticas de ingeniería social y llamadas de soporte falsas para lograr accesos y copiar datos. El acceso se produjo en junio y la confirmación pública llegó en agosto a través del Google Threat Intelligence Group (GTIG), tras contener la intrusión y notificar a las organizaciones afectadas.
Confirmación oficial del incidente y cronología
Google explicó que los atacantes lograron acceso a una instancia de Salesforce utilizada para gestionar relaciones con clientes y actividad empresarial. Según la compañía, lo obtenido corresponde a datos básicos de contacto (como nombres comerciales y correos), sin incluir contraseñas ni información financiera.
El alcance potencial resulta inédito: diversas fuentes estiman que hasta 2.500 millones de direcciones de Gmail podrían ser objetivo de campañas maliciosas impulsadas con la información sustraída. La naturaleza de los datos facilita la preparación de phishing creíble y ataques de suplantación.
Tras detectar el acceso no autorizado, el GTIG bloqueó la actividad, reforzó los controles y activó la comunicación con usuarios y organizaciones potencialmente afectadas. La investigación sigue abierta para cerrar posibles vías de abuso e identificar infraestructura utilizada por los atacantes.
Además de cuentas personales, algunas organizaciones que emplean Google Cloud de forma vinculada pudieron ver expuestos datos de contacto asociados a sus entornos, sin evidencia de credenciales comprometidas, según ha insistido la compañía.
Quién está detrás y cómo operaron
El incidente se atribuye a UNC6040/ShinyHunters, un grupo con experiencia en vishing y suplantación de equipos de soporte. Su estrategia se basó en llamadas telefónicas para guiar a empleados de distintas empresas a autorizar accesos que parecían legítimos.
En varios casos, los atacantes emplearon aplicaciones manipuladas como versiones falsas del Data Loader de Salesforce para conseguir permisos y extraer información. No explotaron un fallo técnico crítico, sino el factor humano y la confianza en procesos habituales.
En paralelo, se han documentado intentos de extorsión mediante correos o llamadas, con exigencias de pago (incluida criptomoneda) bajo la amenaza de divulgar datos robados. Estas presiones se dirigen sobre todo a empresas con presencia pública.
Los principales blancos fueron pequeñas y medianas empresas, que con frecuencia combinan múltiples herramientas y flujos de trabajo. Este escenario facilita campañas de ingeniería social persistentes y a escala.
Alcance y riesgos para usuarios y empresas
Con una base de direcciones tan amplia, los delincuentes pueden lanzar phishing masivo y selectivo con mensajes que aparentan ser de Google, notificando falsas brechas o pidiendo verificaciones urgentes para robar credenciales.
Se han reportado llamadas en las que impostores fingen ser agentes de soporte de Google y proponen un reinicio de seguridad de la cuenta. Durante ese proceso simulado intentan capturar claves o códigos, para después secuestrar la cuenta y cambiar la contraseña.
El riesgo trasciende el correo: con un email validado los atacantes pueden intentar restablecer accesos en otros servicios (banca, redes sociales, suscripciones), encadenando incidentes que afectan a la vida digital completa.
Expertos también apuntan a técnicas complementarias, como DNS dangling en entornos mal configurados, que podrían facilitar el robo de datos o la distribución de malware en escenarios muy concretos.
Cómo proteger tu cuenta y tu organización
Más allá de esta intrusión, la defensa pasa por combinar medidas técnicas y hábitos: activar la verificación en dos pasos, adoptar passkeys cuando sea posible, usar el Comprobador de seguridad y valorar el Programa de Protección Avanzada para cuentas de alto riesgo.
Para usuarios particulares
- Activa la verificación en dos pasos y, si puedes, utiliza passkeys para reducir el uso de contraseñas.
- Desconfía de correos y llamadas urgentes que pidan iniciar sesión o compartir códigos; verifica siempre el remitente.
- Revisa la actividad de tu cuenta y cierra sesiones desconocidas desde el panel de seguridad de Google.
- Usa contraseñas únicas y robustas con gestor de contraseñas; evita repetir claves entre servicios.
- Mantén dispositivos y apps actualizados con los últimos parches de seguridad.
Para empresas y administradores
- Aplica el principio de mínimo privilegio a usuarios y aplicaciones conectadas.
- Controla integraciones con Salesforce: revisa tokens, OAuth, uso de Data Loader y permisos efectivos.
- Restringe accesos por IP y ubicación y establece aprobaciones adicionales para descargas masivas.
- Implementa auditorías y alertas para detectar comportamientos anómalos y movimientos de datos inusuales.
- Forma al personal contra el vishing y verifica por canales oficiales cualquier solicitud de soporte.
- Documenta y reporta intentos de extorsión a los canales de respuesta a incidentes y a las autoridades.
Si has recibido una notificación de Google, aplica de inmediato las recomendaciones indicadas, valida el estado de tu dominio y revisa accesos de terceros. Mantén las comunicaciones por canales oficiales y evita compartir códigos de verificación por teléfono o email.
La fotografía completa indica un ataque basado en ingeniería social que aprovechó procesos legítimos para extraer datos de contacto alojados en Salesforce. Aunque las contraseñas no se vieron comprometidas, la enorme exposición de direcciones de correo multiplica los intentos de fraude; reforzar autenticación, higiene digital y controles de acceso es ahora la mejor vacuna.
