El gigante editorial McGraw Hill, uno de los nombres más reconocidos en el ámbito educativo a nivel global, se ha convertido en la última víctima de un incidente de ciberseguridad que pone de nuevo en evidencia los riesgos asociados a las configuraciones incorrectas en entornos cloud. La filtración, que afecta a 13,5 millones de registros, ha terminado en un foro de la dark web gestionado por el grupo de ransomware ShinyHunters, elevando la gravedad del incidente y ampliando su impacto potencial.
Según los primeros análisis, los datos expuestos incluyen nombres completos, direcciones de correo electrónico, números de teléfono y, en algunos casos, direcciones físicas. La magnitud del volumen filtrado —más de 100 GB de información— sitúa este incidente entre los más relevantes del año en el ámbito de la exposición de datos personales.
Una brecha sin hackeo directo
Uno de los elementos más significativos del caso es que, según McGraw Hill, no se ha producido un acceso no autorizado a sus sistemas internos ni a sus bases de datos principales. La compañía ha atribuido la filtración a una “configuración incorrecta” en una página alojada en Salesforce, lo que habría permitido la exposición de datos sin necesidad de comprometer directamente la infraestructura corporativa.
Este matiz técnico es clave. En la mayoría de los incidentes relacionados con Salesforce, el problema no radica en vulnerabilidades de la plataforma en sí, sino en errores humanos o fallos en la gestión de permisos. Credenciales comprometidas, integraciones con exceso de privilegios o aplicaciones OAuth mal configuradas suelen ser los vectores más habituales.
En este caso, todo apunta a que una página web vinculada a Salesforce —descrita por la compañía como “limitada”— actuó como punto de fuga de información. Sin embargo, la realidad es que esa supuesta limitación no ha impedido que millones de registros acaben circulando libremente en internet.
ShinyHunters vuelve a escena
El incidente salió a la luz cuando el grupo ShinyHunters añadió a McGraw Hill a su portal de filtraciones en la dark web, un espacio donde los grupos de ransomware publican datos robados cuando las víctimas se niegan a pagar. En su mensaje, los atacantes aseguran haber obtenido más de 40 millones de registros procedentes de entornos Salesforce, y acusan a la editorial de no haber cumplido con el pago del rescate antes del 14 de abril.
ShinyHunters no es un actor desconocido. El grupo ha estado vinculado a múltiples filtraciones de alto perfil en los últimos años y ha demostrado una especial habilidad para explotar entornos conectados más que vulnerabilidades directas. De hecho, en 2025 ya protagonizó una campaña dirigida a ecosistemas Salesforce, aprovechando debilidades en servicios integrados y configuraciones deficientes.
El hecho de que McGraw Hill comparta espacio en este portal con otras compañías relevantes, como Rockstar Games, evidencia la escala y ambición de las operaciones del grupo.
El silencio corporativo y la gestión de la crisis
Hasta el momento, McGraw Hill no ha emitido un comunicado visible en sus canales oficiales dirigido a usuarios o clientes afectados. La compañía ha respondido de forma limitada a algunos medios, insistiendo en que el incidente forma parte de un problema más amplio relacionado con Salesforce y que no ha comprometido sus sistemas internos.
Salesforce, por su parte, no ha respondido públicamente a las preguntas sobre este incidente. No obstante, el caso vuelve a poner el foco en un problema recurrente en la adopción de soluciones cloud: la responsabilidad compartida.
Aunque proveedores como Salesforce garantizan la seguridad de la infraestructura, la configuración de accesos, permisos y aplicaciones recae en los clientes. Esto abre la puerta a errores que pueden tener consecuencias críticas si no se gestionan adecuadamente.
Los entornos SaaS, especialmente aquellos integrados con múltiples aplicaciones externas, presentan superficies de ataque complejas. Una mala configuración en un componente aparentemente menor —como una página web o una API— puede convertirse en un vector de exfiltración masiva de datos.
