Google admite una filtración masiva que compromete datos de 2.500 millones de usuarios de Gmail

Google ha confirmado que datos de usuarios de Gmail están en riesgo tras el hackeo de sistemas Salesforce que utiliza la compañía. Un grupo de hackers llamado UNC6040 ha conseguido acceso a través de llamadas telefónicas falsas, convenciendo a empleados para que instalen aplicaciones trucadas que les permiten robar información personal a gran escala.

Según AndroidHeadlines, los datos robados incluyen nombres de usuario, empresas y patrones de actividad de unas 20 organizaciones. Google dice que las contraseñas no se han visto comprometidas, pero los criminales han conseguido información que les facilita ataques más elaborados contra los usuarios.

Llamadas falsas que engañan hasta a expertos

Los hackers de UNC6040 llaman por teléfono haciéndose pasar por técnicos de soporte y convencen a empleados para que instalen versiones modificadas de aplicaciones como Data Loader. El truco funciona porque no atacan el software sino que engañan directamente a las personas, que creen estar hablando con personal de su propia empresa o de servicios técnicos legítimos.

La investigación de Google desvela que esta campaña lleva meses en marcha y va principalmente a por empresas de hostelería, comercio y educación en Europa y América. Los criminales también hackean sistemas de Okta y piden a los usuarios sus códigos de verificación para completar el robo.

Los usuarios ya están viendo las consecuencias. En Reddit han empezado a aparecer quejas sobre llamadas donde falsos empleados de Google avisan de problemas de seguridad. Los métodos de phishing más elaborados están pillando hasta a gente que conoce bien estos temas y sabe identificar estafas.

El problema viene de lejos. Hace poco aparecieron más de 16.000 millones de contraseñas filtradas de grandes empresas tecnológicas en lo que se considera la mayor brecha de seguridad conocida. Algunos grupos también han encontrado formas de usar Gemini para esconder comandos maliciosos en campañas de phishing.

UNC6040 dice estar relacionado con ShinyHunters cuando extorsiona a las víctimas, probablemente para dar más miedo. Google ha encontrado conexiones entre este grupo y "The Com", una especie de red informal de ciberdelincuentes que incluye al famoso grupo Scattered Spider.

Hay algo curioso en cómo funcionan: las amenazas de chantaje pueden llegar meses después del hackeo inicial, lo que indica que trabajan con otros criminales especializados en sacar dinero de los datos robados. Usan redes VPN de Mullvad para esconder su rastro cuando se llevan la información.

Google ha sido directo comunicando el problema: "Si eres cuidadoso, los atacantes no podrán hacer nada". La empresa admite que van saliendo problemas de seguridad con el tiempo, algo poco habitual en estas situaciones donde las grandes tecnológicas prefieren hablar poco y mal.

Los expertos recomiendan activar ya mismo la protección avanzada de Google y hacer una revisión completa de seguridad. Las llaves de acceso son mucho más seguras que las contraseñas normales y resisten mejor estos ataques que mezclan llamadas telefónicas con herramientas digitales cada vez más sofisticadas.