Cushman & Wakefield: vishing filtra 500.000 registros de Salesforce
Una sola llamada de vishing abrió la puerta a uno de los mayores robos de datos corporativos de mayo 2026. ShinyHunters publicó 50 GB.
Javier Núñez
Especialista en ciberseguridad, compliance y seguridad IA
La inmobiliaria global Cushman & Wakefield confirmó el 5 de mayo de 2026 que un incidente de vishing —phishing por voz— permitió a un atacante acceder a su entorno corporativo de Salesforce. El grupo ShinyHunters reivindicó el ataque el 1 de mayo y, tras vencer su ultimátum del 6 de mayo, publicó un dump de aproximadamente 50 GB con registros de la consultora.
Registros Salesforce filtrados
Datos personales y corporativos extraídos en una intrusión que duró pocos días entre el 1 y el 6 de mayo de 2026.
Cómo entraron: la llamada que abrió Salesforce
Según la cobertura publicada por The Register y Cybernews, el vector inicial fue una llamada telefónica en la que el atacante se hizo pasar por soporte interno o por un proveedor de confianza. El empleado al otro lado de la línea acabó proporcionando credenciales válidas o autorizando una conexión OAuth de una herramienta de terceros controlada por el atacante. A partir de ahí, ShinyHunters extrajo medio millón de registros de Salesforce que la propia compañía describió como una mezcla de PII (información personal identificable) y datos internos.
No hace falta malware sofisticado: el control de la sesión legítima de un usuario con permisos en el CRM basta. Es la misma técnica que ShinyHunters ha venido perfeccionando contra empresas con dependencia fuerte de Salesforce desde finales de 2025, incluyendo el caso paralelo del ataque a Instructure que afectó a millones de registros educativos en la misma semana. La industria del cibercrimen organizado ha encontrado en el vishing un retorno desproporcionado: una sola conversación bien preparada con conocimiento previo de la víctima abre puertas que ninguna campaña masiva de phishing por correo conseguiría hoy con filtros modernos.
El detalle que importa para los equipos de seguridad: el atacante hace su tarea antes de marcar el número. Conoce nombres de managers, conoce qué herramienta usa el equipo de TI para sus tickets, conoce los horarios. La llamada se siente legítima porque el contexto es real. Cualquier defensa que no asuma esa preparación previa fracasa en la primera prueba.
El doble ransomware: ShinyHunters y Qilin
Tres días después de la reivindicación inicial, Cushman & Wakefield apareció también en el sitio de filtraciones del grupo Qilin. Las investigaciones públicas indican que las dos intrusiones son independientes y temporalmente cercanas, no una coalición coordinada. Es una señal preocupante: una misma víctima, dos puertas distintas, mismo periodo de tiempo. El perímetro corporativo está expuesto por múltiples flancos a la vez.
La respuesta oficial y lo que omite
En su comunicado, la empresa afirmó haber "activado sus protocolos de respuesta" y contratado expertos externos. Subrayó que "los sistemas y operaciones continúan con normalidad". El comunicado evita confirmar el tamaño exacto del dataset o las clases de PII expuestas, una decisión común en incidentes de esta escala que suele alimentar el ciclo mediático del leak.
El contexto: una semana negra para Salesforce
El caso de Cushman & Wakefield no llegó solo. En la primera semana de mayo, los reportes públicos de Cybernews, BleepingComputer y otras publicaciones especializadas señalaron varias intrusiones con el mismo patrón en empresas grandes que dependen de Salesforce como columna comercial. La conclusión que circula entre analistas de inteligencia es directa: si tu empresa tiene Salesforce en producción y no has hecho ejercicios de vishing en los últimos seis meses, la pregunta no es si te toca, sino cuándo.
La aparición de Qilin como segundo grupo en menos de cuatro días confirma otra hipótesis incómoda: cuando una víctima aparece comprometida, otros grupos investigan rápidamente si tienen sus propias rutas de entrada activas. La economía del cibercrimen ha madurado lo suficiente como para que el oportunismo se convierta en patrón.
Qué se lleva el resto del sector
Tres lecciones operativas inmediatas para cualquier equipo que dependa de Salesforce —o de cualquier SaaS con datos comerciales sensibles—:
- OKReforzar verificación fuera de banda para cualquier petición de credenciales o de autorización OAuth. Un canal de Slack interno o un código de verificación previo cortan el vector vishing al instante.
- OKAuditar las apps conectadas a Salesforce y revocar las dormidas. Cada integración es una puerta lateral si el atacante consigue suplantar al admin que la configuró.
- OKActivar Salesforce Shield o logs de eventos en tiempo real para detectar exfiltraciones masivas vía Data Loader o API en pocos minutos, no días.
La cuarta lección, transversal a las anteriores: asume que tu lista de empleados está en alguna base de datos del atacante. LinkedIn, leaks anteriores, brokers de datos. La ingeniería social de hoy no improvisa. Tu defensa tiene que asumir un atacante informado y orientarse a procesos verificables, no a la memoria del empleado.
El vector fue una llamada de voz, no un correo. El vishing está sustituyendo al phishing tradicional cuando hay SaaS de por medio.
ShinyHunters y Qilin atacaron a la misma víctima en menos de una semana. Asume que tu empresa está en varias listas a la vez.
Salesforce sigue siendo el objetivo número uno porque concentra todo el funnel comercial. Cualquier app conectada amplifica el riesgo.
Fuentes: The Register (5 may 2026), Cybernews (4-7 may 2026), Microsoft Security Blog, declaraciones oficiales de Cushman & Wakefield.
