El grupo de ciberdelincuentes Scattered Lapsus$ Hunters, que incluye a los infames ShinyHunters, accedió a cuentas corporativas vinculadas a Salesforce mediante una filtración en Gainsight. Grandes empresas como LinkedIn, Verizon o DocuSign están en el punto de mira. Google y Mandiant lideran la investigación.
Google ha confirmado una brecha de seguridad masiva que afecta a más de 200 empresas tras un ciberataque contra Gainsight, plataforma conectada a Salesforce. El ataque fue ejecutado por el grupo Scattered Lapsus$ Hunters, que planea lanzar un sitio de extorsión para presionar a las víctimas. Entre las empresas afectadas figuran Thomson Reuters, Malwarebytes y Atlassian.
¿Qué ha pasado?
- Hackers accedieron a aplicaciones de Gainsight, utilizadas por múltiples compañías para gestionar relaciones con clientes.
- Desde allí, lograron accedos a cuentas Salesforce de más de 200 empresas, robando datos corporativos y de usuarios.
- El ataque se originó en una conexión externa con Salesloft, proveedor de Drift (plataforma de marketing con IA), lo que permitió a los delincuentes robar tokens de autenticación y acceder a instancias vinculadas a Salesforce.
Empresas bajo amenaza directa
El grupo Scattered Lapsus$ Hunters se atribuyó el ataque en su canal de Telegram, asegurando haber accedido a información interna de:
- Atlassian
- CrowdStrike
- DocuSign
- F5
- GitLab
- Malwarebytes
- SonicWall
- Thomson Reuters
- Verizon
Aunque algunas de estas empresas niegan haber sido comprometidas, otras admiten estar investigando activamente la brecha. DocuSign, por ejemplo, ha cancelado todas sus integraciones con Gainsight, mientras que CrowdStrike despidió a un empleado sospechoso de filtrar datos.
¿Cómo afecta esto a las empresas y a sus clientes?
1. Confianza corporativa dañada
Los ataques de este tipo debilitan la confianza en la seguridad de plataformas SaaS como Salesforce, ampliamente utilizadas por pymes y multinacionales para almacenar datos críticos.
2. Posibles demandas colectivas
Si se confirma la exposición de datos de clientes o usuarios, las empresas podrían enfrentarse a acciones legales, especialmente en países con regulaciones como el RGPD en Europa o la CCPA en Estados Unidos.
3. Impacto económico
Este tipo de brechas suele traducirse en:
- Costes millonarios en medidas correctivas y ciberseguridad
- Pérdida de valor bursátil (si se trata de empresas cotizadas)
- Sanciones regulatorias si se confirma negligencia
4. Campañas de extorsión en marcha
El grupo de hackers ya ha anunciado el lanzamiento de un sitio web de extorsión, donde filtrará datos robados para presionar a las empresas que no paguen.
Salesforce y Gainsight se lavan las manos
Salesforce ha negado que el problema provenga de su plataforma y culpa a integraciones externas.
Gainsight, por su parte, ha confirmado que está trabajando con Mandiant (unidad de respuesta de Google), aunque no ha dado una versión oficial clara ni detallada.
Ambas compañías se enfrentan ahora a una crisis de reputación, especialmente Gainsight, que ha sido identificada como el punto débil por el que el grupo accedió a cientos de organizaciones.
¿Qué es Scattered Lapsus$ Hunters?
Es un colectivo formado por varias bandas angloparlantes de ciberdelincuentes, incluyendo:
- Lapsus$
- Scattered Spider
- ShinyHunters
Usan tácticas de ingeniería social para engañar a empleados y obtener accesos internos.
Ya han atacado antes a gigantes como MGM Resorts, Coinbase y DoorDash, lo que los convierte en una de las amenazas más activas y peligrosas del momento.
Conclusión
Este caso pone de relieve una fragilidad estructural en las integraciones entre plataformas SaaS.
Cuando empresas delegan servicios críticos en terceros sin una política de seguridad estricta, el riesgo de ser víctimas de extorsión o filtración masiva se dispara.
Y en un contexto donde los datos son oro, estos ataques no son simples travesuras digitales: son golpes económicos y reputacionales a gran escala, con consecuencias reales para empresas, empleados y clientes.
