El número de compañías afectadas por la ola de ataques a instancias de Salesforce aumenta. Esta vez la empresa estadounidense de seguros Farmers Insurance reconoció una filtración de datos que afectó a 1.1 millones de clientes.
La aseguradora se suma a otras compañías afectadas como Google, Cisco, Workday, Adidas, Qantas, Allianz Life y las filiales de LVMH (Louis Vuitton, Dior y Tiffany & Co), de acuerdo con el seguimiento que ha dado el sitio BleepingComputer.
Todas las mencionadas reconocieron una vulneración a través de un tercero, pero no lo identificaron, excepto Google, que sí señaló que el ataque fue a través de una de sus instancias de Salesforce.
Desde principios de año, ciberdelincuentes clasificados como “UNC6040” o “UNC6240” han hecho ataques de ingeniería social contra clientes del CRM mediante phishing de voz (vishing) para engañar a los empleados y lograr que vinculen una aplicación maliciosa que utiliza un protocolo de autorización abierta (OAuth, por su acrónimo en inglés) con las instancias de Salesforce de su empresa.
Una vez vinculada, los actores de amenazas utilizaron la conexión para descargar y robar las bases de datos, que luego se utilizaron para extorsionar a la empresa por correo electrónico.
Índice de temas
El ataque a Farmers Insurance
Farmers Insurance reveló a finales de la semana pasada la filtración de datos en un aviso en su sitio web, indicando que su base de datos en un proveedor externo fue vulnerada el pasado 29 de mayo.
“El 30 de mayo de 2025, uno de los proveedores externos de Farmers alertó a la empresa sobre una actividad sospechosa que involucraba a un actor no autorizado que accedió a una de las bases de datos del proveedor que contenía información de sus clientes“, se lee en la notificación.
La aseguradora con sede en Estados Unidos ofrece seguros de automóvil, hogar, vida y negocios y opera a través de una red de agentes y subsidiarias, atendiendo a más de 10 millones de hogares en todo el territorio estadounidense.
El proveedor externo contaba con herramientas de monitoreo, lo que le permitió detectar rápidamente la actividad y tomar las medidas de contención adecuadas, incluyendo el bloqueo del agente no autorizado.
Sí hubo robo de información
Tras conocer la actividad, Farmers inició de inmediato una investigación exhaustiva para determinar la naturaleza y el alcance del incidente y notificó a las autoridades policiales correspondientes.
La compañía afirmó que su investigación determinó que los nombres, direcciones, fechas de nacimiento, números de licencia de conducir o los últimos cuatro dígitos de los números de seguro social de los clientes fueron robados durante la filtración de datos.
Farmers comenzó a enviar notificaciones sobre filtraciones de datos a las personas afectadas el pasado 22 de agosto, y compartió con la Fiscalía General de Maine dos notificaciones (Farmers New World Life Insurance Company y Farmers Insurance Exchange, Farmers Group) que indicaban que un total combinado de 1 millón 111,386 clientes se vieron afectados.
Varios grupos, detrás del robo de datos
Las demandas de extorsión provienen del grupo de cibercrimen ShinyHunters, que informó a BleepingComputer que los ataques involucran a varios grupos de amenazas que se solapan, y cada uno se encarga de tareas específicas para vulnerar las instancias de Salesforce y robar datos.
“Como ya hemos dicho repetidamente, ShinyHunters y Scattered Spider son la misma cosa”, declaró ShinyHunters.
Nos proporcionan acceso inicial y nosotros realizamos el volcado y la exfiltración de las instancias de Salesforce CRM, tal como hicimos con Snowflake.
