Sociedad > Ataque informático
Google confirma robo de datos de más de 200 empresas tras brecha en Gainsight vinculada a Salesforce
El colectivo Scattered Lapsus$ Hunters, con la banda ShinyHunters, protagonizó un ciberataque global que afectó datos almacenados en Salesforce a través de aplicaciones de Gainsight, generando alerta en grandes empresas y expertos en seguridad digital.
POR REDACCIÓN
Google confirmó que un grupo de hackers accedió y robó datos almacenados en Salesforce pertenecientes a más de 200 empresas, luego de una brecha de seguridad originada en aplicaciones de Gainsight, plataforma de soporte al cliente vinculada a Salesforce.
Este ataque internacional fue reivindicado por el colectivo Scattered Lapsus$ Hunters, que incluye a la banda ShinyHunters, y ha encendido las alarmas en grandes corporaciones y especialistas en ciberseguridad. Según el Grupo de Inteligencia de Amenazas de Google, “tiene conocimiento de más de 200 instancias de Salesforce potencialmente afectadas”, afirmó Austin Larsen, principal analista de amenazas de la compañía.
Por su parte, Salesforce reconoció la existencia de una brecha que comprometió datos de “ciertos clientes”, pero evitó identificar a las empresas involucradas. El acceso no autorizado ocurrió a través de conexiones externas a la plataforma, específicamente en aplicaciones desarrolladas por Gainsight, descartándose que la vulnerabilidad proviniera de Salesforce directamente.
Gainsight explicó que el incidente “se originó en la conexión externa de las aplicaciones, no en ninguna vulnerabilidad dentro de la plataforma de Salesforce”, y que continúan con una investigación forense independiente y exhaustiva para determinar el alcance de la brecha.
El grupo ShinyHunters detalló que logró acceso a Gainsight tras una campaña previa contra clientes de Salesloft, proveedor de la plataforma de marketing Drift. En esa operación, los atacantes robaron tokens de autenticación de Drift, lo que les permitió infiltrarse en instancias relacionadas de Salesforce y descargar datos sensibles.
Un vocero de ShinyHunters afirmó: “Gainsight era cliente de Salesloft Drift, fueron afectados y, por lo tanto, comprometidos completamente por nosotros”.
En su canal de Telegram, Scattered Lapsus$ Hunters aseguró haber accedido a información de empresas como Atlassian, CrowdStrike, Docusign, F5, GitLab, Linkedin, Malwarebytes, SonicWall, Thomson Reuters y Verizon. Sin embargo, varias de estas compañías han negado filtraciones o se encuentran investigando la situación.
Por ejemplo, CrowdStrike comunicó a través de su portavoz Kevin Benacci que “no está afectada por el incidente de Gainsight y todos los datos de los clientes permanecen seguros”. Además, confirmó la desvinculación de un “colaborador sospechoso” que presuntamente filtró información a los atacantes. Verizon afirmó estar “al tanto de la afirmación no fundamentada del actor de amenazas”, sin ofrecer pruebas adicionales.
Desde Docusign, el director de seguridad de la información, Michael Adams, explicó que tras un exhaustivo análisis interno “no hay indicios de compromiso de datos de Docusign en este momento”. Aun así, la empresa tomó precauciones desconectando todas las integraciones con Gainsight y conteniendo los flujos de datos vinculados.
Malwarebytes y Thomson Reuters confirmaron que sus equipos de seguridad están investigando el incidente, mientras que otras compañías mencionadas no respondieron a pedidos de comentarios al cierre de esta publicación.
Gainsight colabora con la unidad de respuesta a incidentes Mandiant, propiedad de Google, para esclarecer el alcance de la brecha y fortalecer la seguridad de sus integraciones externas.
Scattered Lapsus$ Hunters, un colectivo de ciberdelincuentes de habla inglesa que agrupa bandas como ShinyHunters, Scattered Spider y Lapsus$, emplea tácticas de ingeniería social para engañar a empleados y obtener acceso a sistemas corporativos. En años recientes, han reivindicado ataques contra objetivos de alto perfil como MGM Resorts, Coinbase y DoorDash, caracterizándose por extorsiones públicas mediante sitios web dedicados.
En línea con su modus operandi, el grupo anunció en Telegram la próxima creación de una página web para presionar a las víctimas de esta última campaña, intensificando así su estrategia de chantaje digital.