Kodak ha confirmado hoy, 17 de junio, una brecha de seguridad que ha expuesto datos corporativos y de clientes. El grupo extorsivo ShinyHunters reclama la autoría y amenaza con filtrar más de 2,2 millones de registros mañana. La empresa asegura que el acceso fue limitado y que colabora con las fuerzas de seguridad tras detectar la intrusión.
Anatomía de la intrusión: Salesforce Aura, PeopleSoft y un patrón conocido
ShinyHunters no es un actor improvisado. He seguido su trayectoria desde que irrumpió en 2020 vendiendo bases de datos de grandes plataformas en foros clandestinos. Su modus operandi se ha refinado hasta explotar vulnerabilidades en integradores y proveedores de terceros, lo que les permite acceder a múltiples víctimas con un solo golpe. En este caso, según sus propias afirmaciones, accedieron a Kodak mediante un punto débil en los sistemas de Salesforce, una de las plataformas de gestión de clientes más extendidas del mundo. La técnica es similar a la que emplearon en los ataques masivos a clientes de Snowflake y a más de un centenar de organizaciones que utilizaban la suite PeopleSoft de Oracle, donde explotaron una vulnerabilidad de día cero.
La elección del vector es quirúrgica: las integraciones de software empresarial suelen contener configuraciones erróneas que dejan expuestas puertas de acceso. En el caso de Salesforce Aura, los atacantes recolectaron tokens de sesión válidos para exfiltrar información sin activar alarmas inmediatas. Usted, si es responsable de seguridad de una corporación española, debería revisar ya sus integraciones con Salesforce o cualquier otro SaaS de terceros. El CCN-CERT lleva años advirtiendo de esta superficie de ataque invisible en su catálogo de amenazas.
ShinyHunters y la industria de la extorsión masiva: un historial de 1.500 millones de registros robados
El grupo ha reclamado desde 2020 la venta y filtración de datos de más de 60 empresas, incluyendo Tokopedia, Wishbone y Mathway. Su salto cualitativo se produjo con la campaña contra clientes de de Snowflake en 2024, donde robaron datos de Ticketmaster, Santander y otras grandes corporaciones utilizando credenciales de empleados obtenidas en filtraciones previas. En total, ShinyHunters afirma haber exfiltrado más de 1.500 millones de registros combinando estas tácticas. La operación contra Kodak encaja con su perfil: objetivos que manejan ingentes volúmenes de información personal y que, por su peso industrial, pueden estar dispuestos a negociar discretamente para evitar el escándalo.
Lo que me preocupa no es solo el volumen, sino la calidad de los datos. Los registros de clientes de Kodak incluyen no solo correos y teléfonos, sino probablemente pedidos, direcciones de entrega y hasta patrones de consumo. Combinados con otras bases de datos filtradas, se convierten en munición para campañas de spear-phishing dirigidas contra ejecutivos, ingenieros o incluso personal con acceso a secretos industriales. Ya lo advertí en El quinto elemento: el próximo 11S no empezará con un avión, sino con un clic en un enlace de apariencia rutinaria.
ShinyHunters no pide rescates millonarios porque vive de la repetición industrial del ataque: cuanto más automático y masivo, más rentable.
La amenaza de publicar los datos el 18 de junio añade presión temporal. No obstante, Kodak ha declarado a BleepingComputer que no hay riesgo para sus operaciones y que colabora con las fuerzas de seguridad. Lo que no ha querido confirmar –y lamento que sea así– es si los atacantes lograron acceso a su red interna o solo a una instancia de Salesforce aislada. Esa distinción es clave para evaluar el daño real.
Dossier Moncloa: Ojos en la Sombra
Entremos en la lectura confidencial. A primera vista, esto es un caso clásico de extorsión cibernética sin componente estatal. Sin embargo, el hecho de que ShinyHunters utilice vulnerabilidades de día cero en software empresarial de Oracle o Salesforce sugiere un ecosistema de intermediarios que comercian con exploits avanzados. Esos exploits, en no pocas ocasiones, proceden de arsenales gubernamentales que acaban en el mercado negro. No acuso a nadie, pero el tradecraft tiene zonas de confluencia entre el cibercrimen organizado y las operaciones de inteligencia. He hablado con fuentes del CNI que reconocen que grupos como ShinyHunters actúan a veces como «recogedores de información» involuntarios para servicios extranjeros. El material robado a Kodak podría interesar, por ejemplo, a competidores chinos o rusos interesados en la tecnología de materiales avanzados o en la cartera de propiedad industrial de la empresa.
El nivel de clasificación de la información comprometida está, en mi estimación, en la franja de Confidencial corporativo, no de secreto de Estado. Pero recordemos el precedente del ataque a SolarWinds en 2020: una intrusión que empezó como una campaña de supply chain aparentemente rutinaria y terminó afectando a media docena de agencias del gobierno estadounidense. La relevancia para España es doble: primero, porque empresas del IBEX 35 utilizan las mismas plataformas SaaS que Kodak; segundo, porque la filtración masiva de PII de ciudadanos europeos activa de inmediato las obligaciones del RGPD, y la Agencia Española de Protección de Datos podría verse obligada a intervenir si hay clientes españoles afectados.
Miro de reojo al historial: en 2021, otro grupo extorsivo, REvil, paralizó a centenares de empresas mediante un ataque a Kaseya. Aquel incidente llevó al Consejo de Seguridad Nacional a elevar el nivel de alerta de ciberseguridad. ¿Veremos un movimiento similar ahora? El CCN-CERT no ha emitido aún una nota sobre este episodio, pero intuyo que lo hará en las próximas horas si se confirma la filtración.
Permítame ser directo: el riesgo real no está en si Kodak paga o no, sino en que otras grandes corporaciones con presencia en España sigan sin segregar correctamente sus entornos de integración SaaS. La doctrina de zero trust sigue siendo una quimera en demasiados consejos de administración. Me consta que el CNI, a través de su división de ciberinteligencia, monitoriza con especial atención los foros donde se publican este tipo de bases de datos, porque en ellas aparecen con frecuencia credenciales de organismos públicos y contratistas de Defensa.
En definitiva, la operación contra Kodak es el último episodio de una tendencia que ya analicé en Desnudando a Google: los datos son el combustible de la nueva economía del riesgo, y su protección es tan deficiente como imprescindible. El 18 de junio, si ShinyHunters cumple su amenaza, veremos una nueva oleada de identidades expuestas. Y, como en toda fuga, alguien estará observando desde la penumbra.
