Redazione RHC : 2 septiembre 2025 07:56
La semana pasada, se supo que hackers habían comprometido la plataforma de automatización de ventas Salesloft y robado tokens de OAuth y actualización de clientes en su agente de IA Drift, diseñado para integrarse con Salesforce. Como Google ya ha advertido, el ataque fue generalizado y afectó los datos de Google Workspace.
SalesDrift es una plataforma de terceros para integrar el chatbot de IA Drift con una instancia de Salesforce, lo que permite a las organizaciones sincronizar conversaciones, clientes potenciales y tickets de soporte con su CRM. Drift también puede integrarse con diversos servicios para agilizar el proceso, incluyendo Salesforce (no relacionado con Salesloft) y otras plataformas (Slack, Google Workspace y otras).
Según Salesloft, el ataque ocurrió entre el 8 y el 18 de agosto de 2025.Tras el ataque, los atacantes obtuvieron los tokens de OAuth y de actualización del cliente de Drift utilizados para la integración con Salesforce, que luego usaron para robar datos de Salesforce.«Las investigaciones iniciales revelaron que el objetivo principal del atacante era el robo de credenciales, específicamente información confidencial como claves de acceso de AWS, contraseñas y tokens de acceso asociados a Snowflake». El comunicado inicial de Salesloft decía: «Hemos determinado que este incidente no afectó a los clientes que no utilizan nuestra integración Drift-Salesforce. Según nuestra investigación en curso, no hay evidencia de actividad maliciosa relacionada con este incidente».
Junto con colegas de Salesforce, los desarrolladores de Salesloft han revocado todos los inicios de sesión activos y los tokens de actualización de Drift. Además, Salesforce eliminó la aplicación Drift de AppExchange a la espera de una investigación y de las garantías de Salesloft sobre la seguridad de la plataforma.
El ataque fue perpetrado por el grupo de hackers UNC6395, según informó la semana pasada Google Threat Intelligence (Mandiant). Según los investigadores, tras acceder a una instancia de Salesforce, los atacantes ejecutaron consultas SOQL para extraer tokens de autenticación, contraseñas y secretos de los tickets de soporte, lo que les permitió continuar el ataque y comprometer otras plataformas.
«GTIG descubrió que la vulnerabilidad UNC6395 ataca credenciales confidenciales, incluidas las claves de acceso de Amazon Web Services (AWS) (AKIA), las contraseñas y los tokens de acceso asociados con Snowflake», escribió Google. «UNC6395 demuestra un buen conocimiento de la seguridad operativa al eliminar los procesos de consulta, pero los registros no se vieron afectados, y las organizaciones deberían revisar los registros relevantes para detectar indicadores de una filtración de datos.»
Los expertos adjuntaron indicadores de vulnerabilidad a su informe y señalaron que los atacantes utilizaron Tor y proveedores de alojamiento como AWS y DigitalOcean para ocultar su infraestructura. Las cadenas de usuario-agente asociadas con el robo de datos incluían python-requests/2.32.4, Python/3.11, aiohttp/3.12.15 y, para herramientas personalizadas, Salesforce-Multi-Org-Fetcher/1.0 y Salesforce-CLI/1.0.
Google recomendó a las empresas que utilizan Drift integrado con Salesforce que consideraran las desventajas para acceder a sus datos de Salesforce. Se instó a las empresas afectadas a tomar medidas inmediatas para mitigar el incidente. Lo peor es que unos días después resultó que la fuga de datos fue mucho mayor de lo que se pensaba inicialmente. Los expertos de Google han dado la voz de alarma: los atacantes utilizaron tokens OAuth robados para acceder a las cuentas de correo electrónico de Google Workspace y robaron datos de las instancias de Salesforce. El problema radica en que los tokens OAuth de la integración de Drift Email fueron comprometidos y utilizados por un atacante el 9 de agosto para acceder al correo electrónico de un número limitado de cuentas de Google Workspace integradas directamente con Drift. «Según nueva información, este problema no se limitó a la integración de Salesforce con Salesforce Drift, sino que también afectó a otras integraciones», explicaron los investigadores. «Ahora recomendamos a todos los clientes de Salesloft Drift que consideren todos los tokens de autenticación almacenados o conectados a la plataforma Drift como potencialmente comprometidos.»
Salesloft también actualizó su boletín de seguridad e indicó que Salesforce ha desactivado la integración de Drift con Salesforce, Slack y Pardot a la espera de una investigación. Si bien Google atribuye los ataques a un grupo de hackers con el identificador UNC6395, ShinyHunters ha afirmado que Bleeping Computer fue el responsable del ataque. Sin embargo, los hackers afirmaron posteriormente que el incidente descrito por Google no estaba relacionado con ellos, ya que no habían extraído datos de las solicitudes de soporte.
En los últimos meses, filtraciones de datos similares que involucraron a Salesforce y ShinyHunters han afectado a Adidas, la aerolínea Qantas, la aseguradora Allianz Life, varias marcas de LVMH (Louis Vuitton, Dior y Tiffany & Co), el sitio web Cisco.com, así como a la casa de moda Chanel y a la joyería danesa Pandora.
ShinyHunters también afirma estar colaborando con el grupo Scattered Spider, responsable del acceso inicial a los sistemas objetivo. Los atacantes ahora se hacen llamar Sp1d3rHunters, una combinación de los nombres de ambos grupos.
RedazioneGoogle ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...
Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...
Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
