La filial de servicios digitales y outsourcing de Telus, conocida como Telus Digital, ha reconocido públicamente un incidente de seguridad que según los atacantes comprometió una enorme cantidad de información. La propia compañía confirmó a medios que investiga un acceso no autorizado a “un número limitado de nuestros sistemas” y que ha puesto en marcha medidas para contener la intrusión, contratar peritos forenses y notificar a las autoridades pertinentes.
Los detalles que han salido a la luz provienen en buena parte de la reivindicación de un grupo de extorsión conocido como ShinyHunters, que asegura haber exfiltrado casi un petabyte de datos a lo largo de varios meses. Esa cifra —si bien llamativa— no ha sido verificada de forma independiente por terceros y, por tanto, debe tomarse con cautela mientras avanza la investigación. Puede consultarse la cobertura inicial y las declaraciones en medios especializados en ciberseguridad, como BleepingComputer.
Telus Digital presta servicios críticos de outsourcing: atención al cliente, moderación de contenidos, preparación de datos para IA y operaciones de centros de contacto. Esa concentración de funciones hace que los proveedores de BPO sean objetivos especialmente lucrativos para los atacantes, porque un único acceso puede revelar datos de múltiples empresas y millones de clientes. Telus ha dicho que, por ahora, sus operaciones permanecen “plenamente operativas” y que no hay evidencia de interrupción en la conectividad o los servicios al cliente mientras continúa la contención.
Según la narrativa publicada por los propios atacantes, el punto de partida fue el uso de credenciales de Google Cloud encontradas en datos filtrados en otro incidente: la brecha que afectó a la integración Salesloft/Drift y que derivó en el robo de instancias de Salesforce. Investigaciones de terceros, como la publicada por el equipo de inteligencia de Google/Mandiant, describen cómo esa información robada se ha usado en cadena para identificar secretos y accesos a otros servicios cloud; puede leerse un análisis en el blog de Google Cloud sobre aquel incidente en cloud.google.com.
Los atacantes relatan que, con esas credenciales, accedieron a numerosos sistemas de la compañía, incluido un gran entorno de BigQuery, y que emplearon herramientas de búsqueda de secretos como trufflehog para localizar nuevos tokens y claves que les permitieron pivotar dentro de la infraestructura y descargar volúmenes masivos de información. Esa técnica de “credenciales a partir de credenciales” es una táctica recurrente en campañas que derivan de filtraciones iniciales de datos en plataformas SaaS.
El conjunto de información que ShinyHunters afirma tener es variado: desde datos de soporte y registros de llamadas de centros de contacto hasta código fuente, antecedentes obtenidos mediante procesos de verificación, información financiera, datos de Salesforce y grabaciones de conversaciones de soporte en voz. Entre los materiales que describen los atacantes habría registros de metadatos de llamadas (hora, duración, números implicados, calidad de la llamada) que, en manos equivocadas, pueden facilitar fraudes de ingeniería social o vishing.
Además de la exfiltración, los atacantes iniciaron una campaña de extorsión. Según las reclamaciones del grupo, en febrero exigieron 65 millones de dólares para no divulgar los datos robados; Telus, por su parte, según fuentes citadas, no habría negociado con los extorsionadores y ha optado por la investigación forense y la notificación según determine el avance de las indagaciones. La compañía ha informado que implementó medidas adicionales de seguridad y que comunicará a los clientes afectados en la medida que se confirme su exposición.
ShinyHunters no es un actor nuevo en el panorama: en los últimos años se le ha vinculado a múltiples campañas dirigidas a servicios en la nube y plataformas SaaS, especialmente orientadas a obtener y monetizar datos de Salesforce, Google Workspace y otros ecosistemas empresariales. También se han documentado tácticas mixtas como el vishing (llamadas que suplantan soporte técnico para robar credenciales y códigos MFA) y el abuso de tokens de autenticación para tomar control de cuentas SSO, lo que les permite moverse lateralmente por entornos conectados a servicios corporativos. Coberturas especializadas han analizado la evolución y objetivos de este grupo, por ejemplo en BleepingComputer.
Para clientes y compañías que dependen de proveedores de BPO, este episodio subraya una lección recurrente: la seguridad de la cadena de valor digital importa tanto como la seguridad propia. Revisar políticas de acceso y de gestión de secretos, aplicar segmentación estricta entre servicios, rotar credenciales y adoptar sistemas de detección temprana en entornos cloud son medidas indispensables. Al mismo tiempo, las organizaciones deben prepararse para responder a incidentes que no solo afecten sus sistemas, sino también a los de terceros que almacenan o procesan su información.
Desde la perspectiva de los usuarios finales, la exposición de grabaciones de llamadas, historiales de soporte o datos de facturación incrementa el riesgo de fraudes dirigidos. Es recomendable permanecer alerta ante comunicaciones sospechosas, activar autenticación multifactor en todos los servicios que lo permitan y verificar directamente con los proveedores oficiales cualquier petición de información sensible.
Mientras la investigación continúa y Telus trabaja con peritos y fuerzas de seguridad, permanece la incógnita sobre el alcance real del robo y la identidad final de las empresas afectadas. La compañía ha prometido notificar a los clientes impactados “según sea apropiado” una vez que se aclare qué datos fueron expuestos. Seguiremos pendientes de las actualizaciones públicas y de los informes forenses que permitan confirmar el volumen y la naturaleza exacta de la información comprometida.
Para profundizar en los antecedentes técnicos y contextuales de este caso, pueden consultarse los análisis y noticias de referencia: la cobertura del incidente por BleepingComputer, el desglose del incidente Salesloft/Drift en el blog de Google Cloud/Mandiant y la documentación de herramientas que han sido mencionadas por los atacantes, como trufflehog.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...