Resumen de Human Risk: Una campaña de Salesforce y un bocadillo de bots raperos

En esta edición del Human Risk Roundup, nos sumergimos en tres acontecimientos recientes de gran repercusión periodística - siga leyendo para obtener más información.

La filtración de datos de Workday presenta indicios del hackeo generalizado de Salesforce

Workday reveló una violación de datos durante la cual los atacantes accedieron a un sistema CRM de terceros, obteniendo información de contacto de la empresa mediante una campaña de ingeniería social dirigida a los empleados. Este incidente forma parte de un ataque más amplio contra instancias de Salesforce, potencialmente vinculado a grupos de ciberdelincuentes como Scattered Spider y ShinyHunters, que afecta a varias organizaciones importantes.

¿Qué ha pasado?

Durante la brecha, los atacantes obtuvieron información de contacto de las empresas, como nombres, números de teléfono y direcciones de correo electrónico. Los atacantes utilizaron tácticas como hacerse pasar por TI o RRHH para engañar a los empleados y hacerles revelar información sensible. Workday confirmó que no tuvo acceso a los inquilinos de los clientes ni a los datos internos y ha implementado salvaguardas adicionales. Otras organizaciones importantes como Adidas, Cisco y Google también han sido objetivo de esta campaña.

Por qué es importante

La filtración de datos de Workday subraya la importancia de una sólida formación de los empleados y de medidas de seguridad de varios niveles para contrarrestar las tácticas de ingeniería social. También hace hincapié en la necesidad de que el personal de ciberseguridad supervise los sistemas de terceros y aplique salvaguardias contra el acceso no autorizado. 

Cuatro consejos prácticos para los responsables de seguridad

1. Eduque a los empleados sobre las tácticas de ingeniería social, como las llamadas falsas de TI o RRHH, para evitar que los atacantes accedan a información sensible.
2. Audite y supervise regularmente los sistemas de terceros, como las plataformas CRM, para asegurarse de que no son eslabones débiles en su cadena de seguridad.
3. Añada capas adicionales de seguridad, como autenticación multifactor y controles de acceso, para protegerse contra accesos no autorizados.
4. Manténgase informado sobre las campañas en curso y los actores de amenazas, como Scattered Spider y ShinyHunters, para ajustar de forma proactiva sus estrategias de seguridad.

Más información sobre la brecha.

Un hombre de Oregón acusado por el servicio DDoS 'Rapper Bot

Un hombre de Oregón de 22 años, Ethan J. Foltz, fue detenido por operar "Rapper Bot," una botnet de decenas de miles de dispositivos IoT pirateados utilizada para ataques DDoS masivos, incluido uno que interrumpió Twitter/X en marzo de 2025. La botnet, alquilada a extorsionadores, realizó más de 370.000 ataques en todo el mundo, mientras Foltz y su socio tomaban medidas para evitar ser detectados por las fuerzas de seguridad.

¿Qué ha pasado?

La botnet se alquilaba a extorsionadores y tenía como objetivo varias empresas, principalmente en China. Foltz y su co-conspirador, conocido como "Slaykings," mantuvieron la botnet en un tamaño manejable para evitar su detección mientras realizaban más de 370.000 ataques entre abril y agosto de 2025. Los investigadores rastrearon a Foltz a través de los registros de PayPal y Google, revelando sus esfuerzos por vigilar los blogs de seguridad y eludir a las fuerzas del orden. Los ataques de la botnet superaban a menudo los seis terabits por segundo, causando importantes daños financieros y operativos a las víctimas. Si es declarado culpable, Foltz se enfrenta a hasta 10 años de prisión por complicidad en intrusiones informáticas.

Por qué es importante

Aprovechando decenas de miles de dispositivos IoT, Rapper Bot ejecutó ataques DDoS masivos. El caso subraya las vulnerabilidades de los dispositivos IoT y la necesidad de medidas de seguridad sólidas para evitar su explotación. También revela cómo los ciberdelincuentes intentan eludir la detección manteniendo un tamaño de botnet "Goldilocks" y evitando objetivos de alto perfil como KrebsOnSecurity. El impacto financiero y operativo de estos ataques, que pueden costar a las víctimas miles de dólares por minuto, subraya la importancia de las estrategias de defensa proactivas. Por último, el caso sirve para recordar el papel fundamental que desempeña la colaboración entre las fuerzas del orden y los expertos en ciberseguridad en la lucha contra estas sofisticadas amenazas.

Cuatro consejos prácticos para los responsables de seguridad

1. Asegúrese de que todos los dispositivos IoT de su red son seguros y están actualizados.
2. Invierta en tecnologías de defensa DDoS sólidas, como equilibradores de carga, sobreaprovisionamiento o servicios como Project Shield de Google.
3. Manténgase informado sobre nuevos exploits y cepas de malware siguiendo las noticias de ciberseguridad y los informes de inteligencia sobre amenazas.
4. Realice auditorías periódicas y minimice la exposición de su red a posibles amenazas, lo que incluye la aplicación de estrictos controles de acceso, el uso de claves de paso y la aplicación de políticas estandarizadas para evitar que dispositivos no autorizados interactúen con sistemas críticos.

Más información sobre la red de bots.

La violación masiva de datos de Allianz Life afecta a 1,1 millones de personas

Una filtración de datos en Allianz Life vinculada a un ataque dirigido a Salesforce por parte del grupo de extorsión ShinyHunters (que también es posiblemente responsable de la primera filtración en el Human Risk Roundup de hoy) expuso la IIP de 1,1 millones de individuos, incluidos nombres, direcciones de correo electrónico e identificaciones fiscales. Esta brecha involucró a atacantes que explotaban aplicaciones OAuth maliciosas para robar bases de datos y extorsionar a las víctimas.

¿Qué ha pasado?

La brecha se produjo el 16 de julio de 2025, de forma muy similar a la de Workday, a través de un sistema CRM en la nube de terceros. Los datos robados incluían nombres, direcciones de correo electrónico, números de teléfono, direcciones físicas y detalles sensibles como los NIF. ShinyHunters filtró 2,8 millones de registros, afectando a clientes, asesores financieros y socios comerciales. El ataque explotaba aplicaciones OAuth maliciosas para acceder a las bases de datos de Salesforce. Allianz Life confirmó la infracción pero declinó hacer más comentarios debido a una investigación en curso.

Por qué es importante

Esta brecha pone de manifiesto vulnerabilidades críticas en sistemas en la nube de terceros como Salesforce. El personal de ciberseguridad debe tener en cuenta que los atacantes explotaron las conexiones de la aplicación OAuth para acceder a datos sensibles de los clientes. Esta brecha subraya la creciente sofisticación de los ciberdelincuentes que tienen como objetivo empresas de alto perfil, así como los riesgos en cascada de los ataques a la cadena de suministro, dado que en esta campaña se vieron afectadas múltiples organizaciones mundiales. 

Cuatro consejos prácticos para los responsables de seguridad

1. Evalúe y supervise regularmente las prácticas de seguridad de los proveedores externos, especialmente los que gestionan sistemas críticos como los CRM basados en la nube.
2. Eduque a los empleados sobre los riesgos de vincular aplicaciones OAuth no autorizadas a los sistemas de la empresa e implante herramientas para supervisar y restringir dichas conexiones a fin de evitar accesos no autorizados.
3. Prepárese para posibles violaciones de datos desarrollando y probando planes exhaustivos de respuesta a incidentes, que incluyan estrategias de comunicación claras para los clientes y partes interesadas afectados.
4. Manténgase informado sobre las amenazas emergentes, como los grupos de extorsión como ShinyHunters, y aplique medidas para detectar y mitigar estos riesgos antes de que afecten a su organización.

Más información sobre la brecha.