El sector de la seguridad doméstica, tradicionalmente percibido como un bastión frente a amenazas externas, vuelve a quedar en entredicho tras la reciente brecha de datos sufrida por ADT, una de las mayores compañías del mundo en este ámbito. El incidente, atribuido al grupo de ciberdelincuencia ShinyHunters, ha afectado a aproximadamente 5,5 millones de personas, según el servicio de notificación de filtraciones Have I Been Pwned.
Aunque la empresa ha tratado de limitar el impacto del incidente, la magnitud de los datos comprometidos y el método utilizado por los atacantes reflejan una tendencia cada vez más preocupante: el uso de técnicas de ingeniería social avanzadas para comprometer sistemas corporativos.
Qué ha ocurrido en la brecha de ADT
ADT, fundada en 1874 y con más de seis millones de clientes entre hogares y pequeñas empresas, detectó la intrusión el pasado 20 de abril de 2026. Tras una investigación interna, la compañía confirmó que los atacantes lograron acceder a datos personales de usuarios.
Entre la información comprometida se incluyen nombres, números de teléfono y direcciones físicas. En un porcentaje reducido de casos, también se habrían expuesto fechas de nacimiento y los últimos dígitos de números de la Seguridad Social o identificadores fiscales.
La empresa ha subrayado que no se han visto afectados datos financieros, como cuentas bancarias o tarjetas de crédito, ni tampoco los sistemas de seguridad instalados en los hogares de los clientes. Sin embargo, esta aclaración no elimina el riesgo asociado a la filtración.
De hecho, el grupo ShinyHunters publicó posteriormente un archivo de 11 GB con los datos robados en la dark web, después de que ADT rechazara pagar el rescate exigido.
Un ataque basado en vishing y credenciales comprometidas
Uno de los aspectos más relevantes del incidente es el vector de ataque utilizado. Según los propios ciberdelincuentes, lograron acceder a los sistemas de ADT tras comprometer la cuenta de un empleado mediante un ataque de vishing, es decir, phishing por voz.
A través de esta técnica, los atacantes engañaron a un trabajador para obtener sus credenciales de acceso a un sistema de inicio de sesión único (SSO) gestionado por Okta. Una vez dentro, utilizaron esa identidad legítima para acceder a herramientas corporativas conectadas, concretamente a una instancia de Salesforce, desde donde extrajeron los datos.
Este enfoque evidencia una evolución clara en las tácticas de los atacantes: en lugar de explotar vulnerabilidades técnicas complejas, se centran en el eslabón más débil de la cadena, el factor humano.
Aunque ADT ha insistido en que no se han comprometido datos financieros ni sistemas de seguridad, la exposición de información personal sigue representando un riesgo significativo.
Datos como nombres, direcciones, teléfonos o fechas de nacimiento pueden ser utilizados en campañas de phishing altamente personalizadas, facilitando el fraude y la suplantación de identidad.
Además, la publicación de esta información en la dark web aumenta la probabilidad de que sea reutilizada en futuros ataques, ya sea de forma aislada o combinada con otras filtraciones.
ShinyHunters y las campañas de vishing a gran escala
El grupo ShinyHunters no es nuevo en este tipo de operaciones. En los últimos meses ha protagonizado múltiples campañas de vishing dirigidas a empleados y proveedores de servicios externos (BPO), con el objetivo de comprometer cuentas SSO en plataformas como Microsoft Entra, Okta o Google.
Una vez obtenidas estas credenciales, los atacantes acceden a aplicaciones SaaS conectadas, como Microsoft 365, Google Workspace, Slack, SAP o Zendesk, desde donde pueden extraer grandes volúmenes de información sin necesidad de explotar fallos técnicos.
Este modelo de ataque es especialmente peligroso porque permite moverse dentro de la infraestructura corporativa con apariencia legítima, dificultando su detección mediante sistemas tradicionales de seguridad.
