{"id":5335,"date":"2025-10-08T12:40:51","date_gmt":"2025-10-08T12:40:51","guid":{"rendered":"https:\/\/blog.truthscan.com\/?p=5335"},"modified":"2026-03-06T10:12:23","modified_gmt":"2026-03-06T10:12:23","slug":"deepfake-amenaza-a-salesforce","status":"publish","type":"post","link":"https:\/\/blog.truthscan.com\/es\/deepfake-amenaza-a-salesforce\/","title":{"rendered":"La amenaza Deepfake a Salesforce: Cuando la confianza se convierte en un arma"},"content":{"rendered":"

En junio de 2025, un empleado de Google recibi\u00f3 lo que parec\u00eda ser una llamada rutinaria del servicio de asistencia inform\u00e1tica.<\/p>\n\n\n\n

La voz en la l\u00ednea sonaba profesional, segura y completamente familiar.\u00a0<\/p>\n\n\n\n

El t\u00e9cnico pidi\u00f3 al empleado que aprobara una nueva aplicaci\u00f3n en el sistema Salesforce de la empresa.<\/p>\n\n\n\n

En cuesti\u00f3n de minutos, los atacantes tuvieron acceso y robaron 2,55 millones de registros de clientes del CRM de Google.<\/p>\n\n\n\n

Lo que lo hizo posible fue el uso de tecnolog\u00eda de audio deepfake, con voces generadas por IA tan convincentes que enga\u00f1aron a una de las formas de autenticaci\u00f3n m\u00e1s fiables, reconocer la voz de un colega.<\/p>\n\n\n\n

Este incidente, vinculado al grupo ShinyHunters, muestra c\u00f3mo los atacantes utilizan ahora la inteligencia artificial para irrumpir en los sistemas de las empresas.<\/p>\n\n\n\n

Como columna vertebral de la gesti\u00f3n de las relaciones con los clientes para millones de organizaciones de todo el mundo, Salesforce se ha convertido en uno de los principales objetivos de una nueva generaci\u00f3n de ataques de ingenier\u00eda social impulsados por IA.<\/p>\n\n\n\n

Por qu\u00e9 Salesforce se convirti\u00f3 en objetivo de Deepfake<\/strong><\/h2>\n\n\n\n

El crecimiento de Salesforce tambi\u00e9n la ha convertido en un gran objetivo para el robo de datos.<\/p>\n\n\n\n

Como todo est\u00e1 centralizado, una sola brecha puede exponer millones de registros de clientes de muchas empresas diferentes.<\/p>\n\n\n\n

Como se\u00f1ala Tim West, Jefe de Inteligencia de Amenazas de WithSecure:<\/p>\n\n\n\n

\"Grupos de piratas inform\u00e1ticos como Scattered Spider despliegan ingenier\u00eda social para acceder a entornos SaaS. Sus ataques pueden parecer t\u00e9cnicamente sencillos, pero eso no los hace menos peligrosos.\"<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

Seg\u00fan una nueva investigaci\u00f3n de WithSecure, la actividad maliciosa dentro de los entornos de Salesforce aument\u00f3 considerablemente en el primer trimestre de 2025, con un aumento de veinte veces en las detecciones en comparaci\u00f3n con finales de 2024.<\/p>\n\n\n\n

C\u00f3mo los Deepfakes alimentaron una brecha en Salesforce<\/strong><\/h2>\n\n\n\n

Lo que hace que los ataques recientes sean especialmente peligrosos es c\u00f3mo la tecnolog\u00eda deepfake ha pasado de ser una herramienta de nicho a algo que cualquiera puede utilizar como arma.<\/p>\n\n\n\n

A diferencia de las brechas de datos tradicionales que irrumpen directamente en las bases de datos, los ciberdelincuentes utilizan ahora la ingenier\u00eda social basada en la voz, o \"vishing\". Con el auge de los deepfakes y la clonaci\u00f3n de voz por IA, estos ataques son cada vez m\u00e1s dif\u00edciles de detectar.<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

La campa\u00f1a de ShinyHunters contra los clientes de Salesforce sigue un eficaz libro de jugadas que combina la ingenier\u00eda social tradicional con el enga\u00f1o mediante IA de \u00faltima generaci\u00f3n:<\/p>\n\n\n\n

Fase 1: Recopilaci\u00f3n de informaci\u00f3n vocal<\/strong><\/h3>\n\n\n\n

Los atacantes comienzan recogiendo muestras de audio de fuentes p\u00fablicas, presentaciones de ejecutivos, conferencias telef\u00f3nicas, v\u00eddeos de empresas o publicaciones en redes sociales. <\/p>\n\n\n\n

Con tan solo 20-30 segundos de audio claro, pueden crear clones de voz convincentes.<\/p>\n\n\n\n

Fase 2: La llamada de vishing de Deepfake<\/strong><\/h3>\n\n\n\n

Durante una llamada de vishing, el atacante convence a la v\u00edctima para que vaya a la p\u00e1gina de configuraci\u00f3n de aplicaciones conectadas de Salesforce y apruebe una versi\u00f3n falsa de la aplicaci\u00f3n Data Loader, disfrazada con una marca ligeramente alterada.<\/p>\n\n\n\n

Con ello, la v\u00edctima permite sin saberlo que los atacantes roben datos confidenciales de Salesforce.<\/p>\n\n\n\n

La sofisticaci\u00f3n es notable. En algunos casos, los atacantes utilizaron audio deepfake para hacerse pasar por empleados y persuadir al personal del servicio de asistencia para que autorizara el acceso fraudulento. <\/p>\n\n\n\n

Esto representa una evoluci\u00f3n significativa desde el phishing de voz tradicional, en el que los atacantes simplemente se hac\u00edan pasar por figuras de autoridad, hasta la suplantaci\u00f3n mejorada por IA, en la que pueden sonar realmente como personas concretas.<\/p>\n\n\n\n

Fase 3: Explotaci\u00f3n de OAuth<\/strong><\/h3>\n\n\n\n

Una vez autorizada la aplicaci\u00f3n maliciosa, los atacantes se saltan por completo la autenticaci\u00f3n multifactor. <\/p>\n\n\n\n

Una vez aprobada la aplicaci\u00f3n falsa, los atacantes obtienen tokens OAuth de larga duraci\u00f3n, que les permiten saltarse la autenticaci\u00f3n multifactor y operar sin activar las alertas de seguridad normales.<\/p>\n\n\n\n

Fase 4: Extracci\u00f3n silenciosa de datos<\/strong><\/h3>\n\n\n\n

El Grupo de Inteligencia de Amenazas de Google advirti\u00f3 de que un actor de la amenaza utiliz\u00f3 una herramienta Python para automatizar el proceso de robo de datos para cada organizaci\u00f3n atacada, y los investigadores tienen constancia de m\u00e1s de 700 organizaciones potencialmente afectadas.<\/p>\n\n\n\n

Por qu\u00e9 somos vulnerables a las voces de la IA<\/strong><\/h2>\n\n\n\n

El \u00e9xito de estos ataques explota un rasgo humano fundamental: nuestra tendencia a confiar en lo que o\u00edmos. <\/p>\n\n\n\n

Seg\u00fan un reciente estudio mundial, el 70 por ciento de las personas afirman no estar seguras de poder identificar una voz real frente a una clonada.<\/p>\n\n\n\n

Esta vulnerabilidad se agrava en entornos corporativos en los que el personal del servicio de asistencia est\u00e1 formado para ser servicial y complaciente, y el trabajo a distancia ha normalizado las interacciones s\u00f3lo por audio.<\/p>\n\n\n\n

Seg\u00fan el Informe sobre Amenazas Globales 2025 de CrowdStrike, hubo un aumento de 442% en los ataques de phishing de voz (vishing) entre la primera y la segunda mitad de 2024, impulsados por t\u00e1cticas de phishing y suplantaci\u00f3n de identidad generadas por IA.<\/p>\n\n\n\n

La llamada de atenci\u00f3n de los $25 millones<\/strong><\/h2>\n\n\n
\n
\"\"<\/figure>\n<\/div>\n\n\n

Las implicaciones de los ataques mejorados por deepfake van mucho m\u00e1s all\u00e1 de Salesforce. <\/p>\n\n\n\n

El atraco de $25 millones de deepfake a la empresa de ingenier\u00eda Arup a principios de 2024, en el que los atacantes utilizaron IA para hacerse pasar por varios ejecutivos en una videollamada, demostr\u00f3 que ninguna organizaci\u00f3n es inmune a esta amenaza. <\/p>\n\n\n\n

Tambi\u00e9n se han producido ataques similares contra ejecutivos de distintos sectores, como un intento de hacerse pasar por Benedetto Vigna, Consejero Delegado de Ferrari, mediante llamadas de voz clonadas con IA que imitaban su acento del sur de Italia.<\/p>\n\n\n\n

Estos incidentes representan lo que los expertos en seguridad denominan \"fraude de CEO 2.0\", ataques que van m\u00e1s all\u00e1 de la simple suplantaci\u00f3n de identidad por correo electr\u00f3nico para crear enga\u00f1os multisensoriales que pueden enga\u00f1ar incluso a ejecutivos experimentados.<\/p>\n\n\n\n

Seguridad de las plataformas frente a vulnerabilidad humana<\/strong><\/h2>\n\n\n\n

Salesforce se ha apresurado a subrayar que estas filtraciones no representan vulnerabilidades en su plataforma en s\u00ed. <\/p>\n\n\n\n

Salesforce reconoci\u00f3 la campa\u00f1a de UNC6040 en marzo de 2025, advirtiendo de que los atacantes se hac\u00edan pasar por el servicio de asistencia inform\u00e1tica para enga\u00f1ar a los empleados y hacerles entregar credenciales o aprobar aplicaciones maliciosas conectadas. <\/p>\n\n\n\n

La empresa subray\u00f3 que estos incidentes no implicaban ni ten\u00edan su origen en ninguna vulnerabilidad de su plataforma.<\/p>\n\n\n\n

Esto muestra un reto importante para todos los proveedores de SaaS: averiguar c\u00f3mo detener los ataques que juegan con la confianza humana en lugar de con los fallos t\u00e9cnicos.<\/p>\n\n\n\n

Salesforce ha puesto en marcha varias medidas defensivas:<\/p>\n\n\n\n

    \n
  • Fortalecimiento de las aplicaciones conectadas: Desactivaci\u00f3n autom\u00e1tica de las aplicaciones conectadas no instaladas para los nuevos usuarios.<\/li>\n\n\n\n
  • Restricciones de flujo OAuth: Deshabilitaci\u00f3n de las conexiones obtenidas mediante determinados procesos de autorizaci\u00f3n<\/li>\n\n\n\n
  • Supervisi\u00f3n mejorada: Detecci\u00f3n mejorada de patrones sospechosos de autorizaci\u00f3n de aplicaciones.<\/li>\n\n\n\n
  • Educaci\u00f3n de los usuarios: Publicaci\u00f3n de orientaciones para reconocer los intentos de ingenier\u00eda social<\/li>\n<\/ul>\n\n\n\n

    En agosto de 2025, Salesforce cerr\u00f3 todas las integraciones con tecnolog\u00edas Salesloft, incluida la aplicaci\u00f3n Drift, tras descubrir que se hab\u00edan robado tokens OAuth en ataques relacionados. <\/p>\n\n\n\n

    Los expertos en seguridad advierten ahora de que los equipos deben estar atentos a pistas sutiles, como pausas extra\u00f1as, ruido de fondo o fallos de audio, que pueden revelar cu\u00e1ndo una voz ha sido generada por IA.<\/p>\n\n\n\n

    La respuesta de la empresa: M\u00e1s all\u00e1 de las soluciones tecnol\u00f3gicas<\/strong><\/h2>\n\n\n\n

    Las organizaciones est\u00e1n empezando a reconocer que defenderse de los ataques mejorados por deepfake requiere algo m\u00e1s que soluciones tecnol\u00f3gicas; exige un replanteamiento fundamental de los procesos de confianza y verificaci\u00f3n.<\/p>\n\n\n\n

    Comunicaci\u00f3n de confianza cero<\/strong><\/h3>\n\n\n\n

    RealityCheck de Beyond Identity proporciona a cada participante una insignia de identidad visible y verificada, respaldada por autenticaci\u00f3n criptogr\u00e1fica de dispositivos y comprobaciones continuas de riesgos, disponible actualmente para Zoom y Microsoft Teams. <\/p>\n\n\n\n

    Estas soluciones representan un cambio hacia modelos de \"nunca conf\u00edes, siempre verifica\" para la comunicaci\u00f3n empresarial.<\/p>\n\n\n\n

    Programas de formaci\u00f3n mejorados<\/strong><\/h3>\n\n\n\n

    Las organizaciones que utilizan la plataforma de simulaci\u00f3n de deepfake de Resemble AI informan de una reducci\u00f3n de hasta 90% en los ataques con \u00e9xito despu\u00e9s de implementar la plataforma, que utiliza simulaciones hiperrealistas para ilustrar c\u00f3mo se desarrollan los ataques de deepfake en el mundo real.<\/p>\n\n\n\n

    Verificaci\u00f3n multicanal<\/strong><\/h3>\n\n\n\n

    Las organizaciones l\u00edderes est\u00e1n implantando protocolos que exigen la verificaci\u00f3n a trav\u00e9s de m\u00faltiples canales para cualquier solicitud de alto riesgo, independientemente de lo aut\u00e9ntica que parezca la comunicaci\u00f3n inicial.<\/p>\n\n\n\n

    Cuando la voz deja de ser verdad<\/strong><\/h2>\n\n\n\n

    La amenaza deepfake para Salesforce y otros sistemas empresariales representa un punto de inflexi\u00f3n en la historia de la ciberseguridad. <\/p>\n\n\n\n

    Por primera vez, los atacantes no s\u00f3lo pueden hacerse pasar por figuras de autoridad, sino que pueden sonar como ellas, parecerlo y convencer incluso a profesionales de la seguridad formados para que tomen medidas que comprometan la seguridad de la organizaci\u00f3n.<\/p>\n\n\n\n

    En la era del enga\u00f1o generado por la IA, la confianza debe ganarse mediante la verificaci\u00f3n, no asumirse por familiaridad.<\/p>\n\n\n\n

    Las empresas que entiendan esto e inviertan en las herramientas, los procesos y la cultura adecuados estar\u00e1n en la mejor posici\u00f3n para proteger tanto la seguridad como la confianza en un mundo digital cada vez m\u00e1s incierto.<\/p>\n\n\n\n

    En esta nueva realidad, la voz al otro lado de la l\u00ednea puede no ser quien parece.<\/p>\n\n\n\n

    En la era de los deepfakes, la vigilancia constante es el precio de la seguridad.<\/p>","protected":false},"excerpt":{"rendered":"

    En junio de 2025, un empleado de Google recibi\u00f3 lo que parec\u00eda una llamada rutinaria de [...]<\/p>","protected":false},"author":15,"featured_media":5339,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"rank_math_lock_modified_date":false,"_themeisle_gutenberg_block_has_review":false,"footnotes":""},"categories":[31],"tags":[],"class_list":["post-5335","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-helpful-ai-content-tips"],"_links":{"self":[{"href":"https:\/\/blog.truthscan.com\/es\/wp-json\/wp\/v2\/posts\/5335","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.truthscan.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.truthscan.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.truthscan.com\/es\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.truthscan.com\/es\/wp-json\/wp\/v2\/comments?post=5335"}],"version-history":[{"count":3,"href":"https:\/\/blog.truthscan.com\/es\/wp-json\/wp\/v2\/posts\/5335\/revisions"}],"predecessor-version":[{"id":5343,"href":"https:\/\/blog.truthscan.com\/es\/wp-json\/wp\/v2\/posts\/5335\/revisions\/5343"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.truthscan.com\/es\/wp-json\/wp\/v2\/media\/5339"}],"wp:attachment":[{"href":"https:\/\/blog.truthscan.com\/es\/wp-json\/wp\/v2\/media?parent=5335"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.truthscan.com\/es\/wp-json\/wp\/v2\/categories?post=5335"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.truthscan.com\/es\/wp-json\/wp\/v2\/tags?post=5335"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}