Antonio Piazzolla : 2 septiembre 2025 22:32
A principios de septiembre de 2025, Palo Alto Networks confirmó haber sido víctima de una filtración de datos. La vulnerabilidad no afectó a sus productos ni servicios principales, sino a algunas instancias de Salesforce utilizadas internamente debido a una integración con la aplicación de terceros Salesloft Drift. El incidente forma parte de una campaña más amplia de ataques a la cadena de suministro, llevada a cabo en agosto de 2025, y demuestra una vez más cómo las integraciones SaaS pueden ser una debilidad importante.
Entre el 8 y el 18 de agosto de 2025, un actor de amenazas identificado por Google como UNC6395 explotó tokens OAuth comprometidos asociados con la aplicación Drift. Estos tokens permitían el acceso a instancias de Salesforce sin autenticación adicional, lo que facilitaba la exfiltración de datos confidenciales.
Técnicamente, el ataque explotó:
Según Palo Alto Redes, los datos robados incluyen principalmente
El El mayor riesgo reside en que los tickets de soporte pueden contener secretos operativos como:
Una vez identificada la actividad sospechosa, Palo Alto Networks:
Salesloft y Salesforce respondieron revocando los tokens OAuth activos de la aplicación Drift y eliminando temporalmente la aplicación de AppExchange.
Unidad 42 y varios analistas de seguridad han sugerido contramedidas técnicas inmediatas:
La exfiltración de datos de Salesforce no es un punto final, sino un trampolín para actividades más serias. Los escenarios más probables incluyen
El caso de Palo Alto Networks demuestra cómo un ataque a la cadena de suministro puede tener un impacto significativo incluso en empresas líderes en ciberseguridad. El punto débil, en este caso, no era un producto principal, sino una integración SaaS aparentemente inocua.
La lección clave es clara: Toda aplicación de terceros conectada a sistemas críticos debe considerarse un posible punto de entrada. La adopción de prácticas como el principio de mínimo privilegio en los ámbitos de OAuth, el análisis de registros externos y la rotación continua de credenciales confidenciales se están convirtiendo en elementos esenciales para reducir la superficie de ataque.
En un contexto donde los ataques a la cadena de suministro son cada vez más selectivos y sofisticados, la resiliencia requiere centrarse no solo en los productos principales, sino también en todas las integraciones y dependencias de las aplicaciones que existen dentro del ecosistema corporativo.
Google ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...
Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...
Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...