Charter confirma filtración de datos tras amenazas y extorsión de ShinyHunters

𝕏

Hace 10 segundos

Por Canuto

Charter Communications confirmó una filtración de datos después de que el grupo ShinyHunters amenazara con publicar información presuntamente robada. El caso vuelve a poner el foco sobre una campaña de ingeniería social que apunta a plataformas corporativas como Microsoft Entra y Salesforce.
***

Charter dijo que notificó a las autoridades y sostuvo que no se exfiltró información personal sensible ni datos CPNI propietarios del cliente.
ShinyHunters aseguró haber robado 40 millones de registros tras comprometer la cuenta Microsoft Entra de un empleado mediante vishing.
El grupo ha intensificado ataques contra cuentas de SSO y aplicaciones SaaS conectadas, incluyendo Salesforce, Microsoft 365, Slack y Google Workspace.

Charter Communications, uno de los mayores proveedores de banda ancha en Estados Unidos, confirmó que sufrió una filtración de datos luego de que el grupo de extorsión ShinyHunters amenazara con divulgar información presuntamente robada si la empresa no pagaba un rescate. La compañía presta servicios a decenas de millones de clientes residenciales y empresariales a través de su marca Spectrum.

En una declaración compartida durante el fin de semana, Charter indicó que ya está siguiendo sus protocolos internos de seguridad y que se encuentra en proceso de alertar a las autoridades competentes. La empresa también afirmó que, como resultado de la actividad reciente, no fue exfiltrada información personal sensible de los clientes ni datos de información de red propietaria del cliente, conocidos como CPNI, reseña Bleeping Computer.

La declaración textual de la empresa, citada por BleepingComputer, fue tajante en ese punto. Según Charter, “somos conscientes de la situación, estamos siguiendo nuestros protocolos de seguridad y estamos en proceso de alertar a las autoridades correspondientes”. En la misma respuesta añadió que no se exfiltró información personal sensible ni CPNI como resultado de la actividad detectada.

El caso escaló después de que Charter apareciera en el sitio de filtraciones de ShinyHunters, donde el grupo afirmó haber robado 40 millones de registros con datos de clientes de consumo y también del segmento empresarial. Esa publicación elevó la presión pública sobre la compañía, en un momento en que los ataques de extorsión sin cifrado de sistemas se han vuelto más frecuentes.

Qué dice ShinyHunters sobre el ataque a Charter

ShinyHunters aseguró que comprometió a Charter el 1 de abril a través de un ataque de phishing por voz, también conocido como vishing. Según la versión del grupo, el objetivo fue la cuenta de Microsoft Entra de un empleado, lo que habría servido como punto de entrada para acceder a sistemas corporativos conectados.

Con ese acceso, los atacantes habrían exportado millones de registros de clientes desde la instancia de Salesforce de la empresa. De acuerdo con la descripción atribuida al grupo, entre los datos sustraídos estarían nombres de clientes, direcciones de correo electrónico, direcciones físicas, números telefónicos, tipo de teléfono, información sobre el plan contratado y algunos datos vinculados a CPNI.

Los actores también afirmaron haber robado datos relacionados con tickets de soporte al cliente. Ese detalle es relevante porque este tipo de registros puede incluir interacciones, incidencias reportadas y metadatos operativos, aunque la empresa no confirmó esa parte de las afirmaciones.

Cuando se le consultó nuevamente sobre la versión de los atacantes, incluida la supuesta sustracción de información adicional y cierta CPNI, Charter remitió otra vez a su declaración original. En otras palabras, la empresa mantuvo su postura pública sin ampliar detalles sobre el alcance exacto del incidente ni sobre la posible discrepancia entre su versión y la del grupo de extorsión.

Un patrón de ataques centrado en identidades corporativas y apps SaaS

El episodio encaja en una campaña más amplia que ShinyHunters viene ejecutando desde el año pasado. El grupo ha impulsado operaciones de ingeniería social a gran escala dirigidas a cuentas de Microsoft Entra, Okta y Google SSO, tanto de empleados internos como de agentes de BPO, es decir, proveedores externos de procesos de negocio.

La lógica del ataque es directa. Una vez que logran acceso a una cuenta corporativa de inicio de sesión único, los atacantes buscan extraer datos desde aplicaciones SaaS enlazadas a esa identidad. Entre las plataformas mencionadas figuran Salesforce, Microsoft 365, Google Workspace, SAP, Slack, Adobe, Atlassian, Zendesk y Dropbox, entre muchas otras.

En lugar de enfocarse solo en interrumpir operaciones, este modelo privilegia la extracción de información para luego presionar a las empresas con la amenaza de publicación. Se trata de una modalidad de extorsión que explota el valor comercial y reputacional de los datos, incluso cuando no existe cifrado de infraestructura crítica.

Salesforce, en particular, se ha convertido en un objetivo recurrente para este grupo. Según la información reportada por la fuente original, los atacantes también han comprometido a numerosas firmas de integración con el fin de robar tokens OAuth, que luego pueden utilizarse para entrar en instancias de Salesforce y ampliar el alcance del acceso obtenido.

Contexto: por qué el vishing y las cuentas SSO son un riesgo creciente

Para quienes no siguen de cerca el mundo de la ciberseguridad, el vishing es una variante de ingeniería social en la que los atacantes usan llamadas telefónicas o canales de voz para engañar a empleados y obtener credenciales, códigos temporales o acciones de aprobación. Es una técnica efectiva porque combina urgencia, apariencia de legitimidad y explotación de rutinas de soporte técnico.

Cuando el blanco es una cuenta ligada a servicios de identidad como Microsoft Entra, Okta o Google SSO, el impacto puede ser mayor. Estas plataformas funcionan como llaves maestras que conectan múltiples herramientas empresariales. Si una credencial cae en manos de un actor malicioso, el incidente puede escalar rápido desde un usuario individual hasta una gran colección de sistemas y bases de datos.

El riesgo aumenta aún más en entornos con muchas aplicaciones en la nube y una cadena amplia de contratistas. Empresas de telecomunicaciones, educación, banca y software dependen cada vez más de entornos SaaS integrados. Eso reduce fricción operativa, pero también crea superficies de ataque donde una sola identidad comprometida puede abrir la puerta a grandes volúmenes de información.

En ese contexto, la discusión ya no gira solo en torno a firewalls o malware clásico. El foco se desplaza hacia la gestión de identidades, la verificación de accesos, la capacitación frente a fraude por voz y la supervisión de permisos en aplicaciones conectadas. El incidente de Charter refuerza esa tendencia.

Antecedentes recientes del grupo

La actividad reciente de ShinyHunters no se limita a Charter. La misma fuente recordó que Salesforce ha sido un blanco popular de la banda y que varios de sus movimientos más notorios han estado ligados a robo de datos para extorsión, más que a sabotaje operativo directo.

Entre los casos más recientes aparece Instructure, empresa de tecnología educativa. ShinyHunters llevó a cabo múltiples ataques contra esa compañía, provocando interrupciones en Canvas y el robo de datos de decenas de millones de estudiantes, según el recuento publicado.

Instructure dijo posteriormente que alcanzó un “acuerdo” con la banda de extorsión. Aunque no se detallaron los términos, esa formulación sugiere que probablemente se pagó un rescate para impedir la publicación pública de los datos sustraídos. Esa posibilidad refleja el dilema habitual en estos incidentes: contener el daño reputacional y regulatorio frente al riesgo de financiar nuevas campañas criminales.

El grupo también ha sido vinculado con otros eventos que afectaron a grandes organizaciones, incluidas empresas de consumo masivo y seguridad residencial. Esa continuidad muestra que los atacantes no se concentran en un solo sector, sino en cualquier organización con amplios volúmenes de datos, ecosistemas SaaS complejos y procesos susceptibles a ingeniería social.

Lo que deja el incidente para empresas y usuarios

Por ahora, Charter reconoce la filtración de datos y la notificación a autoridades, pero niega que se haya exfiltrado información personal sensible o datos CPNI del cliente como resultado del incidente reciente. Al mismo tiempo, ShinyHunters sostiene una versión mucho más amplia del alcance del robo, con una cifra de 40 millones de registros y categorías específicas de información afectada.

La diferencia entre ambas posturas deja abiertas preguntas relevantes. Entre ellas, qué parte de los datos estaría efectivamente comprometida, cuánto material poseen los atacantes y si la empresa actualizará su comunicación pública a medida que avance la investigación forense.

Para los usuarios, este tipo de episodios es un recordatorio de que las filtraciones modernas suelen originarse en identidades comprometidas y no necesariamente en fallas visibles para el cliente final. Aunque una empresa asegure que no se robó información sensible, la aparición de registros en sitios de extorsión suele activar revisiones regulatorias, procesos internos y vigilancia adicional sobre posibles usos indebidos de la información.

Para el mercado corporativo, el caso expone otra vez la fragilidad de los accesos federados y de los flujos de soporte frente a campañas de engaño bien preparadas. En sectores con millones de clientes y dependencias críticas de plataformas en la nube, el costo de una sola cuenta comprometida puede ser enorme, incluso antes de que exista claridad total sobre la magnitud real de la brecha.

Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.

Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.

ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín

𝕏

USDT	Tether USDt	-0,04%	$80,57 mmd
BTC	Bitcoin	-1,81%	$35,58 mmd
ETH	Ethereum	-1,67%	$15,73 mmd
USDC	USDC	-0,0%	$15,4 mmd
SOL	Solana	-1,88%	$3,71 mmd
USD1	World Liberty Financial USD	-0,03%	$1,93 mmd
XRP	XRP	-1,73%	$1,73 mmd
BNB	BNB	-0,73%	$1,61 mmd
NEAR	NEAR Protocol	-6,35%	$1,21 mmd
ZEC	Zcash	-11,51%	$1,17 mmd

WLD	Worldcoin	13,11%	$0,378 013
OKB	OKB	9,1%	$90,71
LUNC	Terra Classic	7,12%	$0,000 086
KITE	Kite	6,65%	$0,211 088
FET	Artificial Superintelligence Alliance	5,82%	$0,246 866
SEI	Sei	5,34%	$0,065 556
RENDER	Render	5,22%	$2,29
H	Humanity	3,82%	$0,252 176
NIGHT	Midnight	3,31%	$0,033 627
ATOM	Cosmos	1,9%	$2,19

ZEC	Zcash	-11,51%	$576,01
ONDO	Ondo	-7,8%	$0,405 777
WLFI	World Liberty Financial	-7,57%	$0,056 808
NEAR	NEAR Protocol	-6,35%	$2,6
CC	Canton	-6,25%	$0,156 483
VET	VeChain	-5,33%	$0,006 308
QNT	Quant	-5,21%	$75,87
DEXE	DeXe	-5,12%	$16,37
PENGU	Pudgy Penguins	-4,62%	$0,008 494
SUI	Sui	-4,48%	$1,0

Charter confirma filtración de datos tras amenazas y extorsión de ShinyHunters

Qué dice ShinyHunters sobre el ataque a Charter

Un patrón de ataques centrado en identidades corporativas y apps SaaS

Contexto: por qué el vishing y las cuentas SSO son un riesgo creciente

Antecedentes recientes del grupo

Lo que deja el incidente para empresas y usuarios

Suscríbete a nuestro boletín

Artículos Relacionados

MiniCPM5 promete agentes de IA locales en teléfonos con un modelo de solo medio gigabyte

Alerta por GTA 6: ciberdelincuentes están aprovechando la fiebre por el juego para robar datos

Eli Lilly reporta resultados positivos en fase 3 de retatrutide para tratar la obesidad

Royal Mint reporta ventas récord de oro y plata pese al freno en los precios