Salesforce rechaza pagar rescate de $989 millones tras hackeo masivo de datos

La empresa de software en la nube Salesforce confirmó el 7 de octubre de 2025 que rechaza categóricamente pagar cualquier rescate tras las amenazas de un grupo de hackers que alega haber robado aproximadamente mil millones de registros de datos de clientes. La decisión se produjo después de que el colectivo criminal conocido como “Scattered LAPSUS$ Hunters” lanzara un sitio web en la dark web exigiendo el pago de 989,45 millones de dólares antes del 10 de octubre de 2025.

El ataque y las demandas de extorsión

El grupo hacker, que combina miembros de las organizaciones criminales ShinyHunters, Scattered Spider y LAPSUS$, afirma poseer información sensible de 39 grandes corporaciones, incluyendo Google, Toyota, FedEx, Disney, Home Depot, McDonald’s, Walgreens y Marriott. Los atacantes han amenazado con publicar todos los datos robados si no reciben el pago del rescate antes de la fecha límite establecida.

En su sitio de filtraciones en la dark web, los ciberdelincuentes listaron empresas víctimas que incluyen también Adidas, IKEA, Chanel, Cartier y subsidiarias del grupo de lujo Kering. Los hackers afirman haber accedido a bases de datos de gestión de relaciones con clientes (CRM) que contienen información personal identificable como nombres, direcciones, fechas de nacimiento, números de Seguro Social y detalles de contacto comercial.

Método de ataque: ingeniería social sofisticada

Contrario a lo que podría esperarse, Salesforce niega rotundamente que su plataforma haya sido comprometida. La empresa sostiene que los ataques fueron campañas sofisticadas de ingeniería social centradas en engañar a empleados de empresas clientes mediante “voice phishing” (vishing) para lograr que aprobaran aplicaciones OAuth maliciosas.

Según el Grupo de Inteligencia de Amenazas de Google, la campaña tuvo lugar entre el 8 y el 18 de agosto de 2025 y fue atribuida a los grupos UNC6040 y UNC6395. Los atacantes explotaron tokens de autenticación comprometidos de integraciones de terceros, especialmente la herramienta de marketing con IA Drift de Salesloft, que interactúa con Salesforce.

Respuesta firme de Salesforce

En un comunicado oficial, Salesforce declaró: “No hay indicios de que la plataforma de Salesforce haya sido vulnerada, ni que esta actividad esté relacionada con alguna falla conocida en nuestra tecnología”. La empresa informó a sus clientes que había recibido “inteligencia de amenaza creíble” indicando que el grupo ShinyHunters planeaba divulgar información robada durante un incidente de seguridad anterior en el año.

Salesforce comunicó directamente a sus clientes el 7 de octubre que no participará en ninguna negociación ni pagará ninguna demanda de extorsión relacionada con este incidente. La decisión subraya el compromiso de la empresa con la ciberseguridad y su negativa a sucumbir ante actividades cibercriminales.

Confirmaciones de violaciones de datos

A lo largo de 2025, varias empresas han reconocido filtraciones de datos vinculadas a ataques contra instancias de Salesforce:

• Allianz Life confirmó el compromiso de 1,4 millones de registros de clientes
• TransUnion reportó la exposición de 4,4 millones de consumidores
• Google admitió en agosto que los hackers accedieron a una instancia de Salesforce utilizada para la gestión de contactos comerciales de pequeñas y medianas empresas
• Cloudflare confirmó que el atacante comprometió y exfiltró datos entre el 12 y el 17 de agosto de 2025

Consecuencias legales y amenazas adicionales

Salesforce enfrenta una oleada de demandas, con 14 acciones judiciales presentadas solo en septiembre en la Corte del Distrito Norte de California. Los demandantes, que representan a millones de usuarios afectados, acusan a la empresa de negligencia y fallas en la detección de aplicaciones maliciosas, buscando que el caso se considere una demanda colectiva.

Los hackers han amenazado adiccionalmente con ayudar a estudios jurídicos en la presentación de demandas civiles y comerciales contra Salesforce por violaciones de datos bajo el Reglamento General de Protección de Datos (GDPR) de la Unión Europea. También prometen entregar “pruebas de negligencia” a autoridades regulatorias si no se cumplen sus demandas.

Impacto en el sector tecnológico

La amenaza de una filtración masiva de datos, que sería una de las mayores de la historia reciente, mantiene en alerta a toda la industria tecnológica. Salesforce presta servicio a más de 150,000 empresas en todo el mundo y es considerado uno de los pilares del ecosistema de datos corporativos global.

Los desafíos legales podrían implicar una exposición financiera millonaria para el gigante del software, que mantiene su posición firme de no negociar con ciberdelincuentes. La empresa continúa trabajando con expertos externos y autoridades para investigar los intentos de extorsión y proporcionar apoyo a los clientes afectados.

Con la fecha límite del 10 de octubre acercándose, la decisión de Salesforce de rechazar las demandas de rescate establece un precedente importante en la lucha contra la ciberextorsión, aunque las consecuencias a largo plazo para la empresa y sus clientes aún están por determinarse.