La gran G vuelve a quedar retratada: un solo ataque a Salesforce ha bastado para robar la información de clientes empresariales que confiaban en la nube de Mountain View. El episodio reaviva el debate sobre la seguridad real de las Big Tech y el peligro que corren miles de pymes españolas que operan con sus servicios.
Un golpe quirúrgico: así entraron los ciberdelincuentes
El grupo ShinyHunters (UNC6040) ―viejo conocido por sus asaltos a gigantes como Cisco, Qantas o Pandora― utilizó sofisticadas tácticas de voice-phishing para embaucar a empleados y conseguir acceso al CRM de Google. En cuestión de horas, extrajeron nombres comerciales, emails y teléfonos de pequeñas y medianas empresas almacenados en la plataforma.
¿Cuántos afectados? Silencio corporativo
Google admite “un número limitado” de víctimas, pero no da cifras ni confirma si ha recibido exigencias de rescate. La multinacional se escuda en que la mayoría de los datos eran “públicos”, sin aclarar el valor que pueden tener para el cibercrimen en campañas de fraude y suplantación.
Salesforce bajo fuego cruzado
No es un caso aislado: las filtraciones ligadas a Salesforce se multiplican mientras la empresa insiste en que “su plataforma central está segura”. Entre bastidores, ShinyHunters prepara un sitio de filtración para extorsionar a las compañías atacadas y publicar los datos de quienes no paguen.
Alerta para las pymes españolas
- Contacto directo: muchas startups y comercios españoles usan Google Workspace + Salesforce para gestionar leads y facturación.
- Phishing dirigido: con esos datos, los atacantes pueden lanzar campañas personalizadas y saltar a cuentas bancarias o tiendas online.
- Cumplimiento RGPD: si tus clientes europeos aparecen en la filtración, la sanción de la AEPD puede llegar hasta el 4 % de tu facturación anual.
Bruselas mira a Silicon Valley
Este incidente refuerza la agenda de soberanía digital de la UE: menos dependencia de nubes estadounidenses y más centros de datos en territorio europeo. Pero los lobbies de Big Tech ya mueven ficha para frenar nuevas normas.
Conclusión: mientras Google presume de IA y “seguridad sin igual”, un puñado de llamadas fraudulentas ha bastado para desnudar su base de datos. ¿Cuánto tardarán nuestras pymes en exigir responsabilidades… o en buscar proveedor europeo?
