Una coalición de ciberdelincuentes que se hace llamar “Scattered LAPSUS$ Hunters” afirma haber robado 1000 millones de registros de bases de datos de clientes de Salesforce, y amenaza con publicarlos si no se cumplen sus demandas de rescate antes del 10 de octubre de 2025. El grupo asegura poseer información sensible de decenas de grandes corporaciones, entre ellas Google, Toyota, FedEx, Disney y Home Depot, según reportaron medios especializados en ciberseguridad.
Una alianza de hackers con historial peligroso
El colectivo combina miembros de grupos de hackers conocidos como ShinyHunters, Scattered Spider y LAPSUS$, todos con antecedentes de ataques a empresas tecnológicas y financieras de alto perfil. En su sitio de filtraciones en la dark web, los atacantes listaron 39 compañÃas vÃctimas, entre las que también figuran Walgreens, McDonald's, KFC, IKEA, Marriott, Chanel, Cartier y las subsidiarias del grupo de lujo Kering.
Los hackers afirman haber accedido a bases de datos de gestión de relaciones con clientes (CRM) que contienen información personal identificable, como nombres, direcciones, fechas de nacimiento, números de Seguro Social y detalles de contacto comercial.
Filtraciones confirmadas y presión creciente
A lo largo de 2025, varias empresas reconocieron filtraciones de datos vinculadas a ataques contra instancias de Salesforce.
- Allianz Life confirmó el compromiso de 1,4 millones de registros de clientes.
- TransUnion reportó la exposición de 4,4 millones de consumidores.
- Google admitió en agosto que los hackers accedieron a una instancia de Salesforce utilizada para la gestión de contactos comerciales de pequeñas y medianas empresas.
En su mensaje público, los atacantes exigieron que Salesforce negocie directamente un “rescate maestro” para proteger a todos los clientes afectados. De no hacerlo, amenazan con entregar “pruebas de negligencia” a estudios jurÃdicos y autoridades regulatorias.
Salesforce niega una brecha en su plataforma
Desde la compañÃa, sin embargo, niegan que su infraestructura haya sido comprometida. En un comunicado, Salesforce afirmó que “no hay indicios de que la plataforma de Salesforce haya sido vulnerada, ni que esta actividad esté relacionada con alguna falla conocida en nuestra tecnologÃa”.
La empresa sostiene que los ataques fueron sofisticadas campañas de ingenierÃa social, centradas en engañar a empleados de empresas clientes mediante voice phishing (suplantación de voz) para lograr que aprobaran aplicaciones OAuth maliciosas.
Un ataque mediante ingenierÃa social y tokens robados
De acuerdo con el Grupo de Inteligencia de Amenazas de Google, la campaña —que tuvo lugar entre el 8 y el 18 de agosto de 2025— fue atribuida a los grupos UNC6040 y UNC6395. Los atacantes habrÃan explotado tokens de autenticación comprometidos de integraciones de terceros, especialmente la herramienta de marketing con IA Drift de Salesloft, que interactúa con Salesforce.
Estas credenciales robadas habrÃan permitido acceso a nivel de API a los datos de clientes, sin necesidad de vulnerar directamente la infraestructura principal del servicio en la nube.
Demandas y un futuro incierto
Pese a su defensa técnica, Salesforce enfrenta una oleada de demandas. Solo en septiembre, se presentaron 14 acciones judiciales en la Corte del Distrito Norte de California. Los demandantes —que representan a millones de usuarios afectados— acusan a la empresa de negligencia y fallas en la detección de aplicaciones maliciosas, y buscan que el caso se considere una demanda colectiva.
Los desafÃos legales podrÃan implicar una exposición financiera millonaria para el gigante del software, que presta servicio a más de 150.000 empresas en todo el mundo y es considerado uno de los pilares del ecosistema de datos corporativos global.
Mientras tanto, la fecha lÃmite del 10 de octubre se acerca, y la amenaza de una filtración masiva de datos —una de las mayores de la historia reciente— mantiene en alerta a la industria tecnológica.