Redazione RHC : 3 septiembre 2025 13:24
Cloudflare detectó una intrusión de datos. Un atacante experimentado logró acceder y robar datos confidenciales de clientes de la instancia de Salesforce de la empresa. Esta brecha formó parte de un ataque más amplio a la cadena de suministro que explotó una vulnerabilidad en la integración del chatbot de Salesloft Drift, afectando a cientos de organizaciones en todo el mundo.
Es importante destacar que, además de Cloudflare, las siguientes organizaciones también fueron víctimas de este incidente en la cadena de suministro:
El incidente que afectó a Cloudflare, junto con empresas líderes como Palo Alto Networks, Zscaler e incluso Google, demuestra cómo un solo punto de vulnerabilidad en una plataforma SaaS en la nube puede generar efectos dominó devastadores. Un ataque dirigido a la cadena de suministro, como el que explotó la integración del chatbot Salesloft Drift, permitió al actor de amenazas acceder a datos confidenciales gestionados por Salesforce, lo que afectó a cientos de organizaciones. A nivel mundial. La magnitud del evento pone de manifiesto cómo incluso los líderes en ciberseguridad no son inmunes cuando sus operaciones dependen de infraestructura externa, que se convierte en un objetivo prioritario.
En una comunicación detallada, Cloudflare explicó que el actor de amenazas, al que su equipo de inteligencia denominó GRUB1, obtuvo acceso no autorizado a su entorno de Salesforce entre el 12 y el 17 de agosto de 2025.
Para gestionar la atención al cliente y las operaciones internas, la empresa utiliza Salesforce. Los hackers robaron datos confidenciales de los casos almacenados en Salesforce, la mayoría de los cuales eran tickets de soporte técnico. Entre la información comprometida se encontraba información contenida en los campos de texto de los casos de soporte técnico. Estos datos incluyen la información de contacto del cliente, los asuntos y el cuerpo de la correspondencia del caso.
Cloudflare ha destacado que, si bien los clientes no están obligados a compartir información confidencial en los tickets de soporte, cualquier credencial, clave API, registro o contraseña que se haya pegado en los campos de texto de los casos de soporte ahora debe considerarse comprometida. La compañía informó que no se accedió a ningún archivo adjunto ni se comprometió ningún servicio ni infraestructura principal de Cloudflare como resultado de este incidente.
La investigación reveló que el ataque comenzó con un reconocimiento el 9 de agosto, y que la vulnerabilidad inicial se produjo el 12 de agosto. El actor de amenazas utilizó credenciales robadas de la integración de Salesloft Drift para acceder y explorar sistemáticamente el inquilino de Salesforce de Cloudflare antes de exfiltrar datos de casos de soporte el 17 de agosto.
Este incidente nos recuerda una vez más que la nube, si bien ofrece escalabilidad, comodidad y flexibilidad operativa, conlleva riesgos que a menudo no son visibles de inmediato. La naturaleza interconectada de las plataformas SaaS, combinada con numerosas integraciones de terceros, aumenta exponencialmente la superficie de ataque. En este contexto, incluso los procedimientos de gestión de seguridad interna más rigurosos corren el riesgo de no ser suficientes: un error o una vulnerabilidad en un solo eslabón de la cadena puede comprometer todo el ecosistema digital.
La principal lección es que la confianza ciega en la nube no sustituye a una estrategia de seguridad multicapa. Las empresas deben adoptar enfoques de confianza cero, monitorización continua y prácticas de reducción de privilegios, evaluando cuidadosamente cada integración externa. El incidente de agosto de 2025 nos muestra claramente que, en el mundo digital, la resiliencia depende no solo de la solidez de las defensas internas, sino también de la capacidad de predecir y contener los riesgos derivados de terceros: porque hoy en día, un solo incidente de SaaS puede convertirse en una vulnerabilidad global.
RedazioneMuchos de nosotros crecimos con Hiroshi Shiba, de Jeeg, el robot de acero que hablaba con su difunto padre, el profesor Senjiro Shiba, científico y arqueólogo, dentro de una gran computadora. En un ...
Los atacantes están explotando activamente una vulnerabilidad crítica en el sistema de protección de aplicaciones web (WAF) FortiWeb de Fortinet, que podría utilizarse como medio para realizar ata...
En uno de los foros más populares de Rusia para la compraventa de vulnerabilidades y herramientas de ataque, el hilo apareció como un anuncio comercial estándar, pero su contenido dista mucho de se...
A menudo hablamos del servicio de ransomware como servicio (RaaS) LockBit, recientemente renovado como LockBit 3.0, que sigue aportando innovaciones significativas al panorama del ransomware. Estas in...
En esta apasionante historia, viajaremos a 1959 al Club de Ferrocarriles en Miniatura del MIT Tech y conoceremos a Steve Russell. Steve fue uno de los primeros hackers y escribió uno de los primeros ...
