Redazione RHC : 3 septiembre 2025 13:24
Cloudflare detectó una intrusión de datos. Un atacante experimentado logró acceder y robar datos confidenciales de clientes de la instancia de Salesforce de la empresa. Esta brecha formó parte de un ataque más amplio a la cadena de suministro que explotó una vulnerabilidad en la integración del chatbot de Salesloft Drift, afectando a cientos de organizaciones en todo el mundo.
Es importante destacar que, además de Cloudflare, las siguientes organizaciones también fueron víctimas de este incidente en la cadena de suministro:
El incidente que afectó a Cloudflare, junto con empresas líderes como Palo Alto Networks, Zscaler e incluso Google, demuestra cómo un solo punto de vulnerabilidad en una plataforma SaaS en la nube puede generar efectos dominó devastadores. Un ataque dirigido a la cadena de suministro, como el que explotó la integración del chatbot Salesloft Drift, permitió al actor de amenazas acceder a datos confidenciales gestionados por Salesforce, lo que afectó a cientos de organizaciones. A nivel mundial. La magnitud del evento pone de manifiesto cómo incluso los líderes en ciberseguridad no son inmunes cuando sus operaciones dependen de infraestructura externa, que se convierte en un objetivo prioritario.
En una comunicación detallada, Cloudflare explicó que el actor de amenazas, al que su equipo de inteligencia denominó GRUB1, obtuvo acceso no autorizado a su entorno de Salesforce entre el 12 y el 17 de agosto de 2025.
Para gestionar la atención al cliente y las operaciones internas, la empresa utiliza Salesforce. Los hackers robaron datos confidenciales de los casos almacenados en Salesforce, la mayoría de los cuales eran tickets de soporte técnico. Entre la información comprometida se encontraba información contenida en los campos de texto de los casos de soporte técnico. Estos datos incluyen la información de contacto del cliente, los asuntos y el cuerpo de la correspondencia del caso.
Cloudflare ha destacado que, si bien los clientes no están obligados a compartir información confidencial en los tickets de soporte, cualquier credencial, clave API, registro o contraseña que se haya pegado en los campos de texto de los casos de soporte ahora debe considerarse comprometida. La compañía informó que no se accedió a ningún archivo adjunto ni se comprometió ningún servicio ni infraestructura principal de Cloudflare como resultado de este incidente.
La investigación reveló que el ataque comenzó con un reconocimiento el 9 de agosto, y que la vulnerabilidad inicial se produjo el 12 de agosto. El actor de amenazas utilizó credenciales robadas de la integración de Salesloft Drift para acceder y explorar sistemáticamente el inquilino de Salesforce de Cloudflare antes de exfiltrar datos de casos de soporte el 17 de agosto.
Este incidente nos recuerda una vez más que la nube, si bien ofrece escalabilidad, comodidad y flexibilidad operativa, conlleva riesgos que a menudo no son visibles de inmediato. La naturaleza interconectada de las plataformas SaaS, combinada con numerosas integraciones de terceros, aumenta exponencialmente la superficie de ataque. En este contexto, incluso los procedimientos de gestión de seguridad interna más rigurosos corren el riesgo de no ser suficientes: un error o una vulnerabilidad en un solo eslabón de la cadena puede comprometer todo el ecosistema digital.
La principal lección es que la confianza ciega en la nube no sustituye a una estrategia de seguridad multicapa. Las empresas deben adoptar enfoques de confianza cero, monitorización continua y prácticas de reducción de privilegios, evaluando cuidadosamente cada integración externa. El incidente de agosto de 2025 nos muestra claramente que, en el mundo digital, la resiliencia depende no solo de la solidez de las defensas internas, sino también de la capacidad de predecir y contener los riesgos derivados de terceros: porque hoy en día, un solo incidente de SaaS puede convertirse en una vulnerabilidad global.
RedazioneA menudo hablamos del servicio de ransomware como servicio (RaaS) LockBit, recientemente renovado como LockBit 3.0, que sigue aportando innovaciones significativas al panorama del ransomware. Estas in...
En esta apasionante historia, viajaremos a 1959 al Club de Ferrocarriles en Miniatura del MIT Tech y conoceremos a Steve Russell. Steve fue uno de los primeros hackers y escribió uno de los primeros ...
El significado de » hacker » tiene profundas raíces. Proviene del inglés «to hack», que significa picar, cortar, golpear o mutilar. Es una imagen poderosa: la de un campesino rompiendo terrones ...
Desde las vulnerabilidades de WEP hasta los avances de WPA3 , la seguridad de las redes Wi-Fi ha evolucionado enormemente. Hoy en día, las redes autoprotegidas representan la nueva frontera: sistemas...
Un hallazgo excepcional de los primeros tiempos de Unix podría llevar a los investigadores a los mismísimos orígenes del sistema operativo. En la Universidad de Utah se descubrió una cinta magnét...
