En agosto, millones de usuarios de Gmail se vieron en alerta después de que Google recomendara reforzar las medidas de seguridad tras un incidente de ciberseguridad relacionado con Salesforce, la popular plataforma de gestión de clientes.
El caso puso el foco sobre ShinyHunters, un grupo de ciberdelincuentes que ha utilizado técnicas de ingeniería social y phishing de voz (vishing) para infiltrarse en sistemas corporativos y obtener datos sensibles. Aunque la compañía ha insistido en que la seguridad de Gmail “sigue siendo fuerte y efectiva”, la preocupación entre los usuarios no ha dejado de crecer.
¿Quiénes son los ShinyHunters?
El grupo ShinyHunters surgió en 2020 y asegura haber atacado a más de 90 compañías internacionales desde entonces. Aunque su principal motivación es económica, también han provocado daños reputacionales a las empresas víctimas de sus intrusiones.
En 2021 anunciaron la venta de datos de 73 millones de clientes de AT&T, y desde entonces se han vinculado a ataques que comprometen información almacenada en aplicaciones en la nube y bases de datos de sitios web.
Lo novedoso es su transición hacia tácticas de ingeniería social, como el vishing, que consiste en llamadas falsas haciéndose pasar por técnicos de soporte para manipular a empleados y obtener contraseñas o códigos de autenticación.
Cómo operan los ataques de vishing
El vishing no es nuevo, pero el avance de la inteligencia artificial generativa y los deepfakes de voz ha hecho que sea cada vez más difícil detectar el engaño.
En estos ataques, un ciberdelincuente se hace pasar por un miembro del equipo de TI de la empresa y convence al empleado de que revele sus credenciales de acceso. Con esa información, los atacantes logran penetrar en sistemas internos y acceder a datos sensibles.
Este método fue el utilizado contra compañías como Qantas, Pandora, Adidas, Chanel, Tiffany & Co. y Cisco, todas víctimas en 2024 de ataques similares al que puso en jaque a Salesforce y, de forma indirecta, a millones de usuarios de Gmail.
Alianzas con otros grupos criminales
La peligrosidad de ShinyHunters ha aumentado por sus conexiones con otros grupos conocidos, como Scattered Spider y Lapsus$. En agosto, incluso lanzaron un canal en Telegram en el que presumían de haber trabajado conjuntamente para atacar a Salesforce y Allianz Life, cuya información de 2,8 millones de registros fue filtrada públicamente.
Poco después, estos colectivos se reagruparon bajo el nombre de Scattered Lapsus$ Hunters, ofreciendo “ransomware como servicio”. Esto significa que están dispuestos a lanzar ataques de secuestro de datos en nombre de terceros, a cambio de un pago, ampliando así su capacidad de acción.
¿Deben preocuparse los usuarios de Gmail?
Si bien el ataque puso en alerta a los 2.500 millones de usuarios de Gmail, Google ha aclarado que no hubo una filtración masiva de correos electrónicos ni de datos personales. El incidente se centró en información corporativa gestionada por Salesforce, aunque sí existió un riesgo de exposición para ciertas empresas y clientes.
Para el usuario medio de Gmail, la principal amenaza no viene tanto de una intrusión directa en los servidores de Google, sino de ser víctima de intentos de phishing y vishing cada vez más sofisticados.
Cómo protegerse del vishing y otras estafas
Aunque los usuarios poco pueden hacer frente a grupos organizados de ciberdelincuentes, sí es posible reforzar la seguridad personal y corporativa siguiendo ciertas pautas:
-
Desconfiar de llamadas sospechosas: un empleado de soporte nunca debe pedir contraseñas ni códigos de verificación por teléfono.
-
Usar autenticación multifactor resistente al phishing: opciones como el number matching (introducir un número generado en otra app) o la geo-verificación (validar la ubicación física del usuario).
-
Verificación adicional en las empresas: algunas compañías ya incorporan métodos como mostrar una identificación en cámara o preguntas personalizadas imposibles de responder con información pública.
-
Formación interna en ciberseguridad: las organizaciones deben entrenar a sus empleados con escenarios prácticos de ataque para reconocer y evitar manipulaciones.
Un futuro cada vez más complejo
La evolución de grupos como ShinyHunters demuestra que la ciberdelincuencia está adoptando con rapidez herramientas de IA generativa para perfeccionar sus ataques. La suplantación de voz mediante deepfakes convierte en un reto identificar llamadas fraudulentas, lo que obliga tanto a usuarios como a empresas a ser más cautelosos.
El caso de Gmail y Salesforce ha puesto de relieve la capacidad de los ShinyHunters para explotar debilidades humanas mediante técnicas de ingeniería social avanzada. Aunque Google ha asegurado que los usuarios no están en mayor riesgo que antes, la alarma ha servido como recordatorio de que la seguridad digital no depende solo de la tecnología, sino también de la vigilancia y el criterio humano.
En un entorno donde la IA se convierte en arma de ataque, el mejor escudo sigue siendo la educación, la prevención y el uso de herramientas de autenticación más seguras.
