Un suceso irónico y preocupante ha sacudido el mundo de la ciberseguridad: Google identificó en junio de 2025 un engaño sofisticado dirigido a terceros, y ahora ha revelado que también fue víctima del mismo método. Dos meses después de alertar al mundo, la empresa ha confirmado que sus propios sistemas resultaron comprometidos.

La amenaza aprovechó una función legítima de Salesforce: su herramienta Data Loader. Mediante una táctica de vishing (suplantación telefónica), los atacantes convencieron a un empleado para que introdujese un código de conexión a una aplicación aparentemente legítima. 

En realidad, se trató de una versión fraudulenta bajo control del grupo atacante, que permitió extraer datos desde la instancia de Salesforce.

Google, entre los afectados

Google confirmó que el grupo ShinyHunters, designado además como UNC6040, accedió a uno de sus sistemas de Salesforce que almacenaba datos de pequeñas y medianas empresas. 

La información extraída fue limitada: nombres comerciales y datos de contacto, considerados en su mayoría “básicos y de dominio público”. Según Google, el acceso fue breve y la brecha ya está contenida, sin señales de un intento de extorsión o demanda formal.

La propia Google se adelantó en descubrir esta campaña, pero no fue la única víctima. Además de Adidas, también resultaron comprometidas empresas como Louis Vuitton, Chanel, Qantas y Pandora. 

El patrón es claro: actores maliciosos empujan por el lado humano, no explotan fallos técnicos de Salesforce, lo que recrudece la alerta.

Qué deja este incidente

Este incidente pone de manifiesto la importancia de fortalecer las medidas de seguridad en el acceso a plataformas en la nube. Algunas de las recomendaciones de los expertos que las empresas deben considerar para proteger sus datos frente a ataques similares son:

• Auditar con urgencia el uso de conexiones externas en sus plataformas, especialmente herramientas como Data Loader. Aplicar el principio de menor privilegio, limitando quién puede instalar o autorizar apps conectadas.

• Reforzar el control sobre aplicaciones conectadas, estableciendo allowlists confiables.

• Implementar restricciones por direcciones IP, para evitar accesos desde redes sospechosas como las de VPNs comerciales.

Google había advertido del engaño, y la ironía de convertirse en víctima subraya la amenaza persistente que representan las tácticas de ingeniería social. 

Este caso es una llamada de atención global: sin vigilancia constante y medidas preventivas adecuadas, incluso los gigantes tecnológicos pueden caer en trampas que parecen inocuas.