Redazione RHC : 3 septiembre 2025 13:24
Cloudflare detectó una intrusión de datos. Un atacante experimentado logró acceder y robar datos confidenciales de clientes de la instancia de Salesforce de la empresa. Esta brecha formó parte de un ataque más amplio a la cadena de suministro que explotó una vulnerabilidad en la integración del chatbot de Salesloft Drift, afectando a cientos de organizaciones en todo el mundo.
Es importante destacar que, además de Cloudflare, las siguientes organizaciones también fueron víctimas de este incidente en la cadena de suministro:
El incidente que afectó a Cloudflare, junto con empresas líderes como Palo Alto Networks, Zscaler e incluso Google, demuestra cómo un solo punto de vulnerabilidad en una plataforma SaaS en la nube puede generar efectos dominó devastadores. Un ataque dirigido a la cadena de suministro, como el que explotó la integración del chatbot Salesloft Drift, permitió al actor de amenazas acceder a datos confidenciales gestionados por Salesforce, lo que afectó a cientos de organizaciones. A nivel mundial. La magnitud del evento pone de manifiesto cómo incluso los líderes en ciberseguridad no son inmunes cuando sus operaciones dependen de infraestructura externa, que se convierte en un objetivo prioritario.
En una comunicación detallada, Cloudflare explicó que el actor de amenazas, al que su equipo de inteligencia denominó GRUB1, obtuvo acceso no autorizado a su entorno de Salesforce entre el 12 y el 17 de agosto de 2025.
Para gestionar la atención al cliente y las operaciones internas, la empresa utiliza Salesforce. Los hackers robaron datos confidenciales de los casos almacenados en Salesforce, la mayoría de los cuales eran tickets de soporte técnico. Entre la información comprometida se encontraba información contenida en los campos de texto de los casos de soporte técnico. Estos datos incluyen la información de contacto del cliente, los asuntos y el cuerpo de la correspondencia del caso.
Cloudflare ha destacado que, si bien los clientes no están obligados a compartir información confidencial en los tickets de soporte, cualquier credencial, clave API, registro o contraseña que se haya pegado en los campos de texto de los casos de soporte ahora debe considerarse comprometida. La compañía informó que no se accedió a ningún archivo adjunto ni se comprometió ningún servicio ni infraestructura principal de Cloudflare como resultado de este incidente.
La investigación reveló que el ataque comenzó con un reconocimiento el 9 de agosto, y que la vulnerabilidad inicial se produjo el 12 de agosto. El actor de amenazas utilizó credenciales robadas de la integración de Salesloft Drift para acceder y explorar sistemáticamente el inquilino de Salesforce de Cloudflare antes de exfiltrar datos de casos de soporte el 17 de agosto.
Este incidente nos recuerda una vez más que la nube, si bien ofrece escalabilidad, comodidad y flexibilidad operativa, conlleva riesgos que a menudo no son visibles de inmediato. La naturaleza interconectada de las plataformas SaaS, combinada con numerosas integraciones de terceros, aumenta exponencialmente la superficie de ataque. En este contexto, incluso los procedimientos de gestión de seguridad interna más rigurosos corren el riesgo de no ser suficientes: un error o una vulnerabilidad en un solo eslabón de la cadena puede comprometer todo el ecosistema digital.
La principal lección es que la confianza ciega en la nube no sustituye a una estrategia de seguridad multicapa. Las empresas deben adoptar enfoques de confianza cero, monitorización continua y prácticas de reducción de privilegios, evaluando cuidadosamente cada integración externa. El incidente de agosto de 2025 nos muestra claramente que, en el mundo digital, la resiliencia depende no solo de la solidez de las defensas internas, sino también de la capacidad de predecir y contener los riesgos derivados de terceros: porque hoy en día, un solo incidente de SaaS puede convertirse en una vulnerabilidad global.
RedazioneLa Dark Web es una parte de internet a la que no se puede acceder con navegadores estándar (Chrome, Firefox, Edge). Para acceder a ella, se necesitan herramientas específicas como el navegador Tor, ...
El equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
LockBit representa una de las bandas de ransomware más longevas y mejor estructuradas de los últimos años, con un modelo de ransomware como servicio (RaaS) que ha impactado profundamente el ecosist...
