Google informa que hackers robaron datos de 200 empresas tras reciente filtración de la plataforma Gainsight

Google ha confirmado que un grupo de hackers robó datos almacenados en Salesforce pertenecientes a más de 200 empresas, tras una brecha de seguridad originada en aplicaciones de Gainsight.

El ataque, de alcance internacional, fue reivindicado por el colectivo Scattered Lapsus$ Hunters, que incluye a la banda ShinyHunters, y ha puesto en alerta a grandes corporaciones y expertos en ciberseguridad.

La magnitud del incidente fue reconocida por Google a través de su Grupo de Inteligencia de Amenazas. Austin Larsen, principal analista de amenazas de la compañía, declaró a The Register que Google “tiene conocimiento de más de 200 instancias de Salesforce potencialmente afectadas”.

Salesforce, por su parte, comunicó el jueves la existencia de una brecha que comprometió datos de “ciertos clientes”, aunque evitó identificar a las empresas involucradas. El ataque se inscribe en una serie de incidentes recientes que han afectado a la cadena de suministro digital de grandes organizaciones.

El acceso no autorizado a los datos se produjo a través de aplicaciones desarrolladas por Gainsight, una plataforma de soporte al cliente utilizada por numerosas empresas y conectada a Salesforce. De acuerdo con la página de incidentes de Gainsight, la intrusión se originó en conexiones externas a la plataforma, descartando que la vulnerabilidad residiera en Salesforce.

Gainsight explicó que el incidente “se originó en la conexión externa de las aplicaciones, no en ninguna vulnerabilidad dentro de la plataforma de Salesforce”, y que la investigación forense continúa como parte de una revisión independiente y exhaustiva.

El grupo ShinyHunters, integrante de Scattered Lapsus$ Hunters, detalló a TechCrunch que obtuvo acceso a Gainsight tras una campaña previa contra clientes de Salesloft, proveedor de la plataforma de marketing Drift. En esa operación, los atacantes robaron tokens de autenticación de Drift, lo que les permitió infiltrarse en instancias vinculadas de Salesforce y descargar su contenido.

Un portavoz de ShinyHunters afirmó: “Gainsight era cliente de Salesloft Drift, fueron afectados y, por lo tanto, comprometidos completamente por nosotros”.

Scattered Lapsus$ Hunters aseguró en su canal de Telegram haber accedido a datos de empresas como Atlassian, CrowdStrike, Docusign, F5, GitLab, Linkedin, Malwarebytes, SonicWall, Thomson Reuters y Verizon. Sin embargo, varias de estas compañías han negado haber sufrido filtraciones o se encuentran investigando la situación.

CrowdStrike, a través de su portavoz Kevin Benacci, indicó que “no está afectada por el incidente de Gainsight y todos los datos de los clientes permanecen seguros”. La empresa también confirmó la desvinculación de un “colaborador sospechoso” por supuestamente filtrar información a los atacantes. Verizon, por su parte, señaló mediante su portavoz Kevin Israel que “está al tanto de la afirmación no fundamentada del actor de amenazas”, sin aportar pruebas adicionales.

Desde Docusign, el director de seguridad de la información, Michael Adams, declaró que “tras un análisis exhaustivo de registros e investigación interna, no hay indicios de compromiso de datos de Docusign en este momento”.

No obstante, la compañía adoptó medidas preventivas, como la desconexión de todas las integraciones con Gainsight y la contención de los flujos de datos relacionados. Malwarebytes y Thomson Reuters confirmaron que sus equipos de seguridad están investigando el incidente. El resto de las empresas mencionadas no respondió a las solicitudes de comentarios al cierre de la publicación.

Gainsight informó que colabora con la unidad de respuesta a incidentes Mandiant, propiedad de Google, para esclarecer el alcance de la brecha y reforzar la seguridad de sus integraciones externas.

Scattered Lapsus$ Hunters es un colectivo de ciberdelincuentes de habla inglesa que agrupa a bandas como ShinyHunters, Scattered Spider y Lapsus$. Sus miembros emplean tácticas de ingeniería social para engañar a empleados y obtener acceso a sistemas corporativos.

En los últimos años, el grupo ha reivindicado ataques contra objetivos de alto perfil, incluidos MGM Resorts, Coinbase y DoorDash, y se caracteriza por la extorsión pública a través de sitios web dedicados.

En línea con su historial, Scattered Lapsus$ Hunters anunció en su canal de Telegram que prepara el lanzamiento de una página web específica para presionar a las víctimas de su última campaña, intensificando así su estrategia de chantaje digital.