Redazione RHC : 3 septiembre 2025 13:24
Cloudflare detectó una intrusión de datos. Un atacante experimentado logró acceder y robar datos confidenciales de clientes de la instancia de Salesforce de la empresa. Esta brecha formó parte de un ataque más amplio a la cadena de suministro que explotó una vulnerabilidad en la integración del chatbot de Salesloft Drift, afectando a cientos de organizaciones en todo el mundo.
Es importante destacar que, además de Cloudflare, las siguientes organizaciones también fueron víctimas de este incidente en la cadena de suministro:
El incidente que afectó a Cloudflare, junto con empresas líderes como Palo Alto Networks, Zscaler e incluso Google, demuestra cómo un solo punto de vulnerabilidad en una plataforma SaaS en la nube puede generar efectos dominó devastadores. Un ataque dirigido a la cadena de suministro, como el que explotó la integración del chatbot Salesloft Drift, permitió al actor de amenazas acceder a datos confidenciales gestionados por Salesforce, lo que afectó a cientos de organizaciones. A nivel mundial. La magnitud del evento pone de manifiesto cómo incluso los líderes en ciberseguridad no son inmunes cuando sus operaciones dependen de infraestructura externa, que se convierte en un objetivo prioritario.
En una comunicación detallada, Cloudflare explicó que el actor de amenazas, al que su equipo de inteligencia denominó GRUB1, obtuvo acceso no autorizado a su entorno de Salesforce entre el 12 y el 17 de agosto de 2025.
Para gestionar la atención al cliente y las operaciones internas, la empresa utiliza Salesforce. Los hackers robaron datos confidenciales de los casos almacenados en Salesforce, la mayoría de los cuales eran tickets de soporte técnico. Entre la información comprometida se encontraba información contenida en los campos de texto de los casos de soporte técnico. Estos datos incluyen la información de contacto del cliente, los asuntos y el cuerpo de la correspondencia del caso.
Cloudflare ha destacado que, si bien los clientes no están obligados a compartir información confidencial en los tickets de soporte, cualquier credencial, clave API, registro o contraseña que se haya pegado en los campos de texto de los casos de soporte ahora debe considerarse comprometida. La compañía informó que no se accedió a ningún archivo adjunto ni se comprometió ningún servicio ni infraestructura principal de Cloudflare como resultado de este incidente.
La investigación reveló que el ataque comenzó con un reconocimiento el 9 de agosto, y que la vulnerabilidad inicial se produjo el 12 de agosto. El actor de amenazas utilizó credenciales robadas de la integración de Salesloft Drift para acceder y explorar sistemáticamente el inquilino de Salesforce de Cloudflare antes de exfiltrar datos de casos de soporte el 17 de agosto.
Este incidente nos recuerda una vez más que la nube, si bien ofrece escalabilidad, comodidad y flexibilidad operativa, conlleva riesgos que a menudo no son visibles de inmediato. La naturaleza interconectada de las plataformas SaaS, combinada con numerosas integraciones de terceros, aumenta exponencialmente la superficie de ataque. En este contexto, incluso los procedimientos de gestión de seguridad interna más rigurosos corren el riesgo de no ser suficientes: un error o una vulnerabilidad en un solo eslabón de la cadena puede comprometer todo el ecosistema digital.
La principal lección es que la confianza ciega en la nube no sustituye a una estrategia de seguridad multicapa. Las empresas deben adoptar enfoques de confianza cero, monitorización continua y prácticas de reducción de privilegios, evaluando cuidadosamente cada integración externa. El incidente de agosto de 2025 nos muestra claramente que, en el mundo digital, la resiliencia depende no solo de la solidez de las defensas internas, sino también de la capacidad de predecir y contener los riesgos derivados de terceros: porque hoy en día, un solo incidente de SaaS puede convertirse en una vulnerabilidad global.
RedazioneGoogle ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...
Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...
Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
