Más de 2.500 millones de usuarios de Gmail podrían estar en riesgo tras un ciberataque masivo que comprometió una base de datos de Google gestionada a través de la plataforma en la nube de Salesforce. El incidente, vinculado al grupo de hackers ShinyHunters, ha sido descrito por expertos en seguridad como una de las mayores brechas de seguridad en la historia de Google.
Cómo se produjo la violación
El ataque, que comenzó en junio de 2025, se basó en tácticas de ingeniería social. Según el Grupo de Inteligencia de Amenazas de Google (GTIG), los estafadores se hicieron pasar por personal de TI durante llamadas telefónicas convincentes y convencieron a un empleado de Google para que aprobara una aplicación maliciosa conectada a Salesforce. Esto permitió a los atacantes extraer información de contacto, nombres de empresas y notas relacionadas.
Google ha confirmado que no se robaron contraseñas de usuario, pero los datos robados ya se están utilizando de forma indebida. En foros como el subreddit de Gmail, los usuarios han reportado un aumento en los correos electrónicos de phishing, las llamadas telefónicas falsas y los mensajes de texto fraudulentos. Muchas de estas estafas se hacen pasar por personal de Google y engañan a las víctimas para que compartan sus códigos de inicio de sesión o restablezcan sus contraseñas, lo que facilita el robo total de cuentas.
¿Qué está en juego?
Aunque la filtración no expuso las contraseñas directamente, la información robada ofrece un valioso punto de partida para los hackers. Al hacerse pasar por representantes de Google, pueden presionar a las víctimas para que proporcionen credenciales de inicio de sesión o archivos confidenciales. Algunos atacantes también intentan iniciar sesión por fuerza bruta, probando contraseñas débiles o comunes como “contraseña” o “123456”.
Las consecuencias son graves: las víctimas podrían quedar excluidas de sus cuentas de Gmail, perder el acceso a documentos y fotos personales, o incluso exponer las cuentas financieras y los sistemas empresariales vinculados.
Cómo pueden protegerse los usuarios
Comprueba si tu correo de Gmail ha sido expuesto en la dark web. Usa el Comprobador de Fugas de Datos y el Monitoreo de la Dark Web de ID Protection para comprobar si tus datos están circulando y configurar un monitoreo continuo.
Refuerza la seguridad de tu cuenta actualizando tu contraseña de Gmail. Crea una contraseña única y segura con el generador de contraseñas gratuito de ID Protection y activa la autenticación multifactor (MFA) para iniciar sesión sin phishing.
Utilice las herramientas de bloqueo de llamadas, filtrado de SMS y detección de estafas de Trend Micro ScamCheck para detener a los estafadores antes de que lo alcancen.
Verifique los correos electrónicos sospechosos que dicen ser de Google. Los estafadores pueden hacerse pasar por Google para engañarlo y conseguir que proporcione sus códigos de acceso. Por eso, puede subir los correos electrónicos sospechosos a ScamCheck para confirmar si son falsos.
Google anima a los usuarios a cambiar a claves de acceso, que utilizan huella dactilar o reconocimiento facial y son resistentes al phishing. Mientras tanto, realiza una Revisión de Seguridad de Google, que revisa las protecciones de la cuenta y destaca las medidas de seguridad adicionales que puedes activar.
Respuesta y trayectoria de Google
Google comenzó a notificar a los usuarios afectados el 8 de agosto de 2025, tras completar su análisis de la brecha de seguridad. La compañía enfatizó que los datos comprometidos eran, en gran parte, información empresarial pública, aunque los expertos advierten que incluso los detalles más básicos pueden utilizarse como arma en estafas dirigidas.
Esta no es la primera vez que Google se ve afectado por un incidente a gran escala. Entre las brechas de seguridad anteriores se incluyen las filtraciones de la API de Google+ (2018), las estafas de phishing de Gmail basadas en OAuth (2017-2018) y la campaña de malware Gooligan (2016). Cada incidente enseñó la misma lección: los atacantes no siempre necesitan contraseñas para causar un daño significativo.
ShinyHunters y grupos de la UNC
El colectivo de hackers ShinyHunters, también conocido como UNC6040, tiene un historial de vulneraciones de sistemas corporativos con fines de extorsión. Sus tácticas suelen implicar suplantar la identidad del soporte informático para engañar a los empleados y conseguir que aprueben aplicaciones maliciosas de Salesforce. Una vez dentro, utilizan herramientas similares al “Data Loader” de Salesforce para extraer grandes cantidades de datos.
En algunos casos, la información robada no se monetiza de inmediato. En cambio, un grupo relacionado, conocido como UNC6240, contacta a las víctimas meses después, exigiendo pagos en bitcoins y amenazando con filtrar los datos robados. Los investigadores de seguridad creen que el grupo podría estar preparándose para intensificar sus extorsiones mediante el lanzamiento de un sitio web especializado en filtraciones de datos.
