El reciente ataque que comprometió datos de Google a través de Salesforce nos recuerda una verdad incómoda: nadie está exento de los riesgos de la ingeniería social, ni siquiera las compañías más grandes del mundo.
En junio de 2025, el grupo de ciberdelincuentes ShinyHunters (UNC6040) llevó a cabo una operación de vishing (phishing por voz) dirigida a empleados con acceso a instancias corporativas de Salesforce. A través de llamadas telefónicas convincentes, lograron engañar a personal de distintas organizaciones para obtener credenciales legítimas y acceder a bases de datos sensibles.
El incidente afectó a millones de registros corporativos, incluyendo nombres de clientes, correos electrónicos, teléfonos y notas internas. Aunque no se filtraron contraseñas ni información financiera, el volumen de datos expuestos es suficiente para impulsar campañas de phishing y extorsión dirigidas a usuarios y empresas en todo el mundo.
¿Por qué es relevante para las empresas?
- El eslabón más débil sigue siendo el humano. El ataque no se originó en una vulnerabilidad técnica, sino en la manipulación psicológica de empleados.
- Las aplicaciones conectadas en la nube son cada vez más atractivas para los atacantes. En este caso, Salesforce fue el punto de entrada.
- El tiempo de reacción cuenta. Aunque Google contuvo el ataque en pocas horas, la extracción inicial de datos ya estaba hecha.
Lecciones de seguridad para tu organización
En Custos Consulting destacamos tres medidas críticas que toda empresa debe reforzar:
🔒 Cultura de seguridad: entrenar constantemente a los colaboradores para identificar intentos de phishing y vishing. La formación es tan importante como la tecnología.
⚙️ Gestión de accesos: auditar aplicaciones conectadas, aplicar el principio de menor privilegio y monitorear accesos en tiempo real.
✅ Autenticación robusta: implementar MFA (autenticación multifactor) o passkeys, reduciendo drásticamente el riesgo incluso cuando una contraseña es comprometida.
Conclusión
El caso de Google demuestra que la ciberseguridad no depende únicamente de firewalls y cifrado, sino de la combinación entre tecnología, procesos y personas. Hoy más que nunca, las organizaciones necesitan adoptar un enfoque de Zero Trust y reforzar su resiliencia frente a ataques de ingeniería social.
En Custos Consulting ayudamos a empresas y profesionales a fortalecer sus defensas digitales, anticiparse a las amenazas y crear una cultura de seguridad sostenible.
👉 ¿Quieres proteger tu negocio contra incidentes como este?
📩 Escríbenos a contacto@custosconsulting.com y agenda una asesoría con nuestros especialistas.
