Google reveló que el grupo de hackers ShinyHunters logró acceder a sus cuentas mediante Salesforce, un proveedor de software en la nube. El incidente podría haber expuesto los datos de hasta 2.5 mil millones de usuarios de Gmail y Google Cloud en todo el mundo, lo que lo convierte en uno de los ataques más significativos de los últimos años.
Cómo ocurrió la brecha
El Google Threat Intelligence Group (GTIG) informó que detectó la intrusión en junio y, para agosto, encontró evidencia de que los atacantes estaban utilizando tácticas, técnicas y procedimientos superpuestos para infiltrarse en redes y cuentas.
Los métodos más utilizados incluyeron el ingeniería social, especialmente a través de suplantación de representantes de soporte técnico en llamadas telefónicas, con un enfoque en usuarios de habla inglesa pertenecientes a multinacionales.
Aunque el material robado fue descrito por Google como “información básica y mayormente pública de negocios”, GTIG advirtió que ShinyHunters podría escalar sus tácticas de extorsión con el lanzamiento de un sitio de filtración de datos para aumentar la presión sobre sus víctimas.
Un historial de extorsión
ShinyHunters ya es conocido por ataques de alto perfil. Google señaló que este grupo ha utilizado en el pasado técnicas de intimidación, como llamadas o correos electrónicos a empleados de empresas víctimas, exigiendo pagos en bitcoin en un plazo de 72 horas.
Entre sus objetivos anteriores destacan compañías como AT&T Wireless, Microsoft, Santander, Ticketmaster, Wattpad y Mashable. Además de las amenazas directas, también han obtenido ganancias vendiendo bases de datos robadas en la dark web.
Qué pueden hacer los usuarios
Ante esta situación, Google recomienda reforzar la seguridad de las cuentas con las siguientes medidas:
- Actualizar la contraseña de Google y asegurarse de que sea única.
- Usar un gestor de contraseñas para generar y almacenar credenciales seguras.
- Activar la autenticación en dos pasos, preferiblemente con una llave de seguridad o Google Prompt.
- Mantener aplicaciones, navegadores y sistemas operativos actualizados.
- Desconfiar de mensajes, correos o llamadas sospechosas que intenten obtener información sensible.
- Evitar hacer clic en enlaces que soliciten datos personales como contraseñas o información bancaria.
Señales de advertencia
De acuerdo con Cybersecurity Insiders, algunos indicadores de que una cuenta podría estar comprometida son:
- Cambios repentinos de contraseña.
- Modificaciones no autorizadas en la información personal.
- Envío de spam desde la cuenta.
Asimismo, Forbes advierte que transacciones financieras extrañas en Google Pay o Google Play, así como el uso inesperado de Google Drive para compartir archivos, pueden ser señales de un ataque.
En caso de sospecha de hackeo, se recomienda cambiar la contraseña de inmediato, ejecutar el Google Security Checkup para revisar la actividad inusual, informar a contactos potencialmente afectados y monitorear constantemente la cuenta.