CTOLCTOL Solutions
CTOL Digital SolutionsCTOL Digital Solutions FRCTOL Digital Solutions DACHCTOL 디지털 솔루션希图科技シートーデジタル解決Soluções Digitais CTOLCTOL Soluciones Digitales
Noticias
Servicios Asesoría CIO/CTOComputación en la NubeMarketing Digital y VentasCiencia de Datos e Inteligencia EmpresarialIA Generativa para NegociosWeb3 y DeFi para EmpresasDesarrollo de Aplicaciones Web y MóvilesConsultoría de Negocios DigitalesModernización de Aplicaciones LegadasDiseño Web y Experiencia de Usuario
Industrias Aeroespacial y DefensaAutomociónBancaMercados de CapitalComunicaciones y MediosBienes de Consumo y ServiciosEnergíaSalud y Atención MédicaInternetManufacturaSegurosSector Público y SocialRetailViajesTelecomunicacionesFarmacéuticaCapital Privado y Capital de RiesgoEducaciónPetróleo y GasBienes RaícesConstrucción y Materiales de ConstrucciónServicios LegalesGastronomía y Hospitalidad
PerspectivasSoftwareHerramientas de IA
Contáctenos

Workday Confirma Brecha de Datos Tras Hackers Hacerse Pasar por Personal de la Empresa en Llamadas Telefónicas para Robar Información de Contacto de Clientes

Por
Amanda Zhang
10 min de lectura
InternetAplicación

La vulnerabilidad de OAuth: Cómo la filtración de Workday expone el eslabón más débil del SaaS empresarial

PLEASANTON, California — El 6 de agosto, Workday descubrió que cibercriminales habían infiltrado una de sus bases de datos de relaciones con clientes de terceros mediante un método engañosamente simple: atacantes que se hicieron pasar por personal de RR. HH. y TI convencieron a empleados de la empresa, a través de llamadas telefónicas, para que les concedieran acceso al sistema. Sin malware sofisticado. Sin exploits de día cero. Solo manipulación humana calculada.

Logotipo de la empresa Workday exhibido en su sede central de Pleasanton, California. (wikimedia.org)
Logotipo de la empresa Workday exhibido en su sede central de Pleasanton, California. (wikimedia.org)

El gigante de la tecnología de recursos humanos, que presta servicio a más de 11.000 clientes corporativos y 70 millones de usuarios en todo el mundo, reveló la violación de seguridad en una publicación de blog difundida a última hora del viernes. Según el comunicado de la empresa, los hackers extrajeron una cantidad no revelada de información personal de la base de datos, que contenía principalmente datos de contacto comerciales, incluidos nombres, direcciones de correo electrónico y números de teléfono. Workday enfatizó que no había "ningún indicio de acceso a los inquilinos de los clientes o a los datos dentro de ellos", es decir, los sistemas centrales donde los clientes corporativos almacenan archivos de RR. HH. y datos sensibles de empleados en grandes volúmenes.

Sin embargo, este incidente representa mucho más que un fallo de seguridad aislado. La violación de Workday se presenta como el objetivo más reciente en una campaña coordinada que ha comprometido sistemáticamente a grandes empresas a lo largo de 2025. En las últimas semanas se han producido ataques similares contra las bases de datos de clientes de Google alojadas en Salesforce, los sistemas de Cisco, la gigante aérea Qantas y minoristas de lujo como Pandora. El equipo de seguridad de Google ha atribuido estas violaciones a ShinyHunters, un grupo cibercriminal conocido por usar tácticas de phishing de voz para manipular a empleados corporativos y obtener acceso a bases de datos.

El patrón revela una preocupante evolución en el cibercrimen empresarial: los atacantes han descubierto que la psicología humana, en lugar de las vulnerabilidades técnicas, proporciona la vía más fiable para acceder a los sistemas corporativos en la nube. Este cambio desafía las suposiciones fundamentales sobre cómo las empresas modernas protegen sus activos digitales más valiosos.

El cortafuegos humano se desmorona

La metodología del ataque revela una preocupante evolución en el cibercrimen corporativo. En lugar de intentar violar los sistemas centrales de recursos humanos de Workday, que prestan servicio a más de 70 millones de usuarios en 11.000 clientes corporativos, los atacantes explotaron lo que los expertos en seguridad consideran el eslabón más débil de la seguridad en la nube empresarial: la confianza humana combinada con las brechas en la gobernanza de tokens OAuth.

Una ilustración conceptual de un ataque de vishing (phishing de voz), donde un cibercriminal manipula a un empleado por teléfono para obtener acceso al sistema. (amazonaws.com)
Una ilustración conceptual de un ataque de vishing (phishing de voz), donde un cibercriminal manipula a un empleado por teléfono para obtener acceso al sistema. (amazonaws.com)

Según la revelación de Workday, los atacantes se hicieron pasar por personal de RR. HH. y TI a través de llamadas de voz, convenciendo a los empleados para que autorizaran aplicaciones maliciosas que posteriormente extrajeron datos masivos a través de canales API legítimos. Esta técnica elude por completo la autenticación multifactor, ya que las aplicaciones maliciosas operan con tokens de acceso preautorizados.

"La sofisticación no está en la tecnología, está en la ingeniería social", explicó un analista de ciberseguridad familiarizado con la campaña. "Estos grupos han industrializado el proceso de manipular la psicología humana para obtener acceso a los sistemas".

La campaña más amplia ha demostrado una notable coherencia en su enfoque. El equipo de seguridad de Google, que atribuyó públicamente violaciones similares a ShinyHunters, advirtió que el grupo estaba preparando sitios de filtración de datos diseñados para extorsionar a las víctimas, una operación al estilo ransomware pero sin la implementación tradicional de malware.

Más allá de las listas de contactos: El valor estratégico de los datos "mundanos"

Workday enfatizó que la información comprometida consistía "principalmente" en datos de contacto comerciales: nombres, direcciones de correo electrónico y números de teléfono. Sin embargo, los expertos en seguridad advierten que esta caracterización subestima el valor estratégico de dicha información en fases posteriores del ataque.

"Las bases de datos de contactos son munición para la focalización de precisión", señaló un investigador de inteligencia de amenazas que solicitó el anonimato. "Esto no se trata de la monetización inmediata de datos, sino de crear la base para campañas de ingeniería social mucho más sofisticadas".

La correlación temporal es particularmente preocupante. Workday descubrió la violación el 6 de agosto, lo que la sitúa de lleno dentro de la ventana operativa de la campaña más amplia de ShinyHunters. Inteligencia reciente sugiere que el grupo ha estado colaborando con otras organizaciones cibercriminales notorias, incluidas Scattered Spider y Lapsus$, en canales compartidos de Telegram.

Implicaciones para el mercado: Cuando la seguridad se convierte en fricción de ventas

Para Workday, que cotiza a 229,60 $ con una ganancia diaria del 1,55%, el impacto financiero inmediato parece contenido. Las acciones de la empresa han mostrado resiliencia en parte porque la violación no afectó los datos de los inquilinos de los clientes, es decir, los registros centrales de RR. HH. y financieros que representan la propuesta de valor principal de Workday.

Sin embargo, el incidente expone un riesgo comercial más matizado que las empresas de software empresarial enfrentan cada vez más: incidentes de seguridad que no amenazan la funcionalidad principal, pero que crean fricción en las adquisiciones. Grandes clientes empresariales ya están implementando cuestionarios de seguridad mejorados y requisitos de auditoría que pueden extender los ciclos de venta entre 60 y 90 días.

"Estamos viendo un cambio fundamental en cómo las empresas evalúan a los proveedores de SaaS", observó un analista de la industria. "Ya no se trata solo de la seguridad de la plataforma central, sino de todo el ecosistema de aplicaciones conectadas e integraciones de terceros".

Esta evolución en las adquisiciones afecta particularmente a las empresas en industrias reguladas y contratos gubernamentales, donde los incidentes de seguridad pueden desencadenar reevaluaciones obligatorias de las relaciones con los proveedores, independientemente del alcance técnico de la violación.

La brecha de gobernanza de OAuth

¿Sabía que OAuth es un protocolo estándar abierto ampliamente utilizado que le permite autorizar de forma segura a aplicaciones y sitios web para acceder a su información en otros servicios sin compartir su contraseña? En lugar de entregar sus detalles de inicio de sesión, OAuth proporciona tokens de acceso limitados y temporales, actuando como una "llave de aparcacoches" que mantiene sus credenciales seguras mientras permite que las aplicaciones realicen tareas específicas en su nombre. Esta tecnología impulsa funciones populares como "Iniciar sesión con Google" y ayuda a proteger sus datos en línea al controlar exactamente a qué información pueden acceder las aplicaciones de terceros.

La vulnerabilidad técnica explotada en estos ataques —la gestión de tokens OAuth— representa una debilidad sistémica en todo el ecosistema de SaaS empresarial. Los tokens OAuth, diseñados para permitir una integración fluida entre aplicaciones en la nube, a menudo conllevan permisos excesivos y carecen de una monitorización adecuada para actividades inusuales de exportación de datos.

Los investigadores de seguridad han identificado varias brechas específicas que permitieron el éxito de la campaña:

  • Las aplicaciones conectadas con permisos de acceso a datos excesivamente amplios permanecen autorizadas indefinidamente, creando vectores de ataque persistentes.
  • La mayoría de las empresas carecen de monitorización en tiempo real para la exportación masiva de datos o anomalías en las consultas API que indicarían acceso no autorizado.
  • La formación de los empleados generalmente se centra en correos electrónicos de phishing tradicionales en lugar de ingeniería social sofisticada basada en la voz.

El resultado es una superficie de ataque que crece con cada integración de SaaS, creando un riesgo exponencial que la seguridad perimetral tradicional no puede abordar.

Reajuste del panorama competitivo

La campaña de violaciones está reconfigurando la dinámica competitiva en el sector del software empresarial. Las empresas que pueden demostrar una gobernanza superior de OAuth y seguridad en aplicaciones de terceros están obteniendo ventajas de ventas, particularmente en verticales sensibles a la seguridad.

Los principales competidores de Workday —Oracle HCM, SAP SuccessFactors y UKG— enfrentan vulnerabilidades similares en sus sistemas de gestión de relaciones con clientes y ecosistemas de proveedores. Sin embargo, el incidente crea una oportunidad de marketing para los proveedores que puedan demostrar de forma creíble controles de seguridad mejorados en torno a las aplicaciones conectadas.

La tendencia más amplia está impulsando un aumento de la inversión en herramientas de gestión de la postura de seguridad de SaaS (SSPM), servicios de respaldo y tokenización, y plataformas de gobernanza de identidades. La reciente adquisición de Own Company, un especialista en protección de datos, por parte de Salesforce, señala la importancia estratégica de abordar estas vulnerabilidades a nivel de plataforma.

Perspectiva de inversión: Señal frente a ruido

Para los inversores institucionales, el incidente de Workday representa un riesgo operativo más que un desafío fundamental para la tesis de inversión. Las sólidas tasas de retención de clientes de la empresa y su posición arraigada en los flujos de trabajo de RR. HH. empresariales proporcionan resiliencia contra la rotación relacionada con la seguridad.

Sin embargo, el incidente destaca varios temas de inversión que probablemente se acelerarán:

  • Gasto en infraestructura de seguridad: Las empresas aumentarán los presupuestos para la gobernanza de OAuth, la monitorización de API y las herramientas de detección de amenazas de SaaS. Empresas como Varonis, Obsidian Security y AppOmni podrían beneficiarse de esta tendencia.
  • Tecnologías de minimización de datos: El éxito de la campaña en la monetización de datos de contacto "mundanos" impulsará la demanda de soluciones de tokenización, clasificación de datos y gestión automatizada de la retención.
  • Gestión de identidades y accesos: El factor humano en estas violaciones acelerará la adopción de plataformas avanzadas de verificación de identidad, análisis de comportamiento y gestión de acceso privilegiado.

Los analistas sugieren que las inversiones en tecnología centradas en la seguridad podrían superar el rendimiento de los índices de SaaS más amplios, a medida que las empresas priorizan la gobernanza sobre el crecimiento en sus estrategias de nube.

Evaluación de riesgos futuros

La campaña de ShinyHunters parece estar entrando en una fase más agresiva. Informes de inteligencia sugieren que el grupo se está preparando para lanzar sitios web de extorsión con datos robados, imitando tácticas de ransomware sin la complejidad técnica del despliegue de malware.

Para los clientes de Workday, esto crea riesgos operativos inmediatos. La información de contacto robada podría alimentar campañas de phishing dirigidas diseñadas para comprometer entornos de clientes individuales, lo que podría llevar a fraude en nóminas, manipulación de beneficios o recolección de credenciales.

Los analistas de mercado proyectan que el éxito de la campaña inspirará operaciones similares, lo que podría conducir a un período sostenido de ataques de ingeniería social elevados contra clientes de SaaS empresariales. Este entorno podría favorecer a los proveedores que inviertan fuertemente en educación de seguridad para el cliente e intercambio proactivo de inteligencia de amenazas.

El incidente también señala una posible evolución regulatoria. A medida que la exfiltración de datos de contacto demuestra ser cada vez más valiosa para las operaciones cibercriminales, las regulaciones de privacidad podrían expandirse para tratar la información de contacto comercial con los mismos requisitos de protección que los datos personales del consumidor.

El nuevo paradigma de seguridad

La violación de Workday, en última instancia, ilumina la insuficiencia de los marcos de ciberseguridad tradicionales en el entorno empresarial nativo de la nube. Los atacantes tuvieron éxito no por superioridad técnica, sino explotando las brechas humanas y de proceso que crea la integración habilitada por OAuth.

Para las empresas de software empresarial, esto presenta tanto un desafío como una oportunidad. Aquellas que logren reimaginar la seguridad como una función de habilitación del cliente —en lugar de una obligación de cumplimiento— podrían descubrir ventajas competitivas en un mercado cada vez más consciente de la seguridad.

La lección más amplia se extiende más allá de cualquier proveedor individual: en un ecosistema de nube interconectado, la seguridad es tan fuerte como el punto de integración más débil. Como demuestra la campaña de ShinyHunters, esa debilidad reside cada vez más no en la tecnología, sino en el juicio humano que la gobierna.

El rendimiento pasado no garantiza resultados futuros. Este análisis se basa en información disponible públicamente y en las condiciones actuales del mercado. Los inversores deben consultar a asesores financieros para obtener orientación personalizada sobre decisiones de inversión individuales.

También te puede gustar

Este artículo ha sido enviado por nuestro usuario bajo las Normas y directrices para la presentación de noticias. La foto de portada es arte generado por computadora únicamente con fines ilustrativos; no indicativa del contenido factual. Si crees que este artículo infringe los derechos de autor, no dudes en informarlo enviándonos un correo electrónico. Tu vigilancia y cooperación son invaluables para ayudarnos a mantener una comunidad respetuosa y legalmente conforme.

Suscríbete a nuestro boletín

Obtenga lo último en negocios empresariales y tecnología con vistazos exclusivos a nuestras nuevas ofertas

Utilizamos cookies en nuestro sitio web para habilitar ciertas funciones, proporcionarle información más relevante y optimizar su experiencia en nuestro sitio web. Puede encontrar más información en nuestra Política de privacidad y en nuestros Términos de servicio . La información obligatoria se puede encontrar en el aviso legal