Ada Spinelli : 2 septiembre 2025 11:45
La reciente confirmación por parte de Zscaler de una filtración de datos resultante de un ataque a la cadena de suministro constituye un caso práctico sobre la evolución de las amenazas contra ecosistemas SaaS complejos. El ataque, atribuido al grupo APT UNC6395, explotó vulnerabilidades en la gestión de credenciales OAuth y el modelo de confianza de la API en integraciones entre aplicaciones de terceros y plataformas en la nube.
Según el análisis inicial, el punto de entrada fue el abuso de la integración Salesloft Drift-Salesforce. El actor extrajo tokens OAuth válidos, lo que permitió el acceso directo a los endpoints de Salesforce sin tener que interactuar con los sistemas de autenticación tradicionales (por ejemplo, MFA o cookies de sesión).
Este vector explota una debilidad inherente del protocolo OAuth: los tokens de portador. Si se roba un token de portador, otorga acceso completo hasta su vencimiento, independientemente del contexto en el que se utilice. Una vez obtenido el token de portador OAuth (por ejemplo, mediante robo de registros, volcados de memoria o intercepción),
puede reutilizarse en otra sesión, desde otro dispositivo o desde otra red, sin necesidad de conocer la contraseña ni de pasar la autenticación multifactor. En la práctica, el token robado se convierte en un «pasaporte válido» hasta su vencimiento.
Los atacantes orquestaron enumeraciones automatizadas mediante scripts de Python, con consultas masivas a las API de Salesforce, obteniendo conjuntos de datos que contenían correos electrónicos, números de teléfono y otra información de contacto empresarial.
Este enfoque demuestra un alto nivel de madurez operativa, con un enfoque claro en la persistencia sigilosa y el enmascaramiento del ruido operativo de SaaS.
Zscaler confirmó que la vulnerabilidad se limitó al entorno de Salesforce y no a los sistemas de seguridad principales. Los datos exfiltrados incluían información de contacto empresarial, sin impacto directo en la infraestructura de red ni en los servicios SASE; no se detectó manipulación de configuraciones ni de código ejecutable.
Sin embargo, incluso datos aparentemente de bajo impacto pueden proporcionar una base privilegiada para futuras operaciones de phishing selectivo contra clientes y socios, robando la confianza en la marca Zscaler.
Este incidente confirma problemas críticos conocidos, pero a menudo ignorados:
El ataque a Zscaler no es solo un incidente aislado, sino una llamada de atención para toda la industria. Las arquitecturas SaaS, por su naturaleza interconectada, erosionan el concepto tradicional de perímetro. En este escenario, la resiliencia depende de la capacidad de gestionar proactivamente la tokenización, la exposición de API y a terceros.
El caso de Zscaler demuestra que ni siquiera los actores globales de seguridad son inmunes a las vulnerabilidades de la cadena de suministro. El futuro de la seguridad en la nube requiere un cambio de paradigma: tratar cada integración como un vector de amenaza potencial y aplicar controles de seguridad por diseño a cada capa de la cadena de suministro digital.
Google ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...
Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...
Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...