Redazione RHC : 27 agosto 2025 12:58
Se llevó a cabo una sofisticada campaña de exfiltración de datos dirigida a las instancias de Salesforce de varias empresas, lo que resultó en la exposición de información confidencial de varias organizaciones. Esto se produjo a través de tokens OAuth comprometidos asociados con la aplicación de terceros Salesloft Drift.
El actor de amenazas, identificado como UNC6395, recopiló credenciales y datos confidenciales entre el 8 y el 18 de agosto de 2025. Esto demostró un conocimiento significativo de los procedimientos de seguridad operativa, ya que se ejecutaron consultas SOQL en múltiples objetos de Salesforce.
UNC6395 ejecutó consultas sistemáticas de lenguaje de consulta de objetos de Salesforce (SOQL) para enumerar y extraer datos de objetos críticos de Salesforce, incluyendo casos, cuentas, usuarios y oportunidades. El informe, elaborado por el Grupo de Inteligencia de Amenazas de Google, indica que el atacante utilizó tokens de acceso OAuth y tokens de actualización comprometidos de la aplicación Salesloft Drift para autenticarse en las instancias de Salesforce objetivo.
Salesloft afirmó que el atacante se dirigió específicamente a claves de acceso de AWS (identificadores AKIA), contraseñas, credenciales de Snowflake y otros materiales de autenticación confidenciales almacenados en campos personalizados y objetos estándar de Salesforce.
UNC6395 aprovechó mecanismos legítimos de autenticación OAuth para obtener acceso no autorizado, eludiendo los controles de seguridad tradicionales y dificultando especialmente la detección para las organizaciones afectadas.
Salesforce y Salesloft respondieron revocando todos los tokens OAuth activos asociados con la aplicación Drift el 20 de agosto de 2025, lo que frenó eficazmente el vector de ataque. El análisis posterior a la exfiltración reveló que el actor buscó en los datos extraídos patrones que coincidieran con los formatos de credenciales, lo que indica que el objetivo principal era la recolección de credenciales, en lugar del robo de datos tradicional.
Este vector de ataque aprovecha el marco de autorización OAuth 2.0, que permite a las aplicaciones de terceros acceder a los datos de Salesforce sin exponer directamente las credenciales de los usuarios. El actor demostró sofisticación técnica al ejecutar consultas COUNT para evaluar el volumen de datos antes de la exfiltración:
La aplicación Drift fue posteriormente eliminada de Salesforce AppExchange a la espera de una revisión de seguridad completa.
RedazioneMientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la apari...
Martes de parches de agosto: Microsoft publica actualizaciones de seguridad que corrigen 107 vulnerabilidades en los productos de su ecosistema. La actualización incluye correcciones para 90 vuln...
Como parte de las actualizaciones de seguridad del martes de parches de agosto de 2025, se ha corregido una vulnerabilidad crítica de ejecución remota de código (RCE) en el software de ...
29 000 servidores Exchange son vulnerables a la vulnerabilidad CVE-2025-53786, que permite a los atacantes acceder a entornos de nube de Microsoft, lo que podría comprometer por completo el ...
«El sistema de defensa militar Skynet entrará en funcionamiento el 4 de agosto de 1997. Comenzará a autoeducarse, aprendiendo a un ritmo exponencial, y adquirirá consciencia de s&#...
