Violación de datos de Zscaler: Lecciones aprendidas sobre la evolución de las amenazas de SaaS

Ada Spinelli : 2 septiembre 2025 11:45

La reciente confirmación por parte de Zscaler de una filtración de datos resultante de un ataque a la cadena de suministro constituye un caso práctico sobre la evolución de las amenazas contra ecosistemas SaaS complejos. El ataque, atribuido al grupo APT UNC6395, explotó vulnerabilidades en la gestión de credenciales OAuth y el modelo de confianza de la API en integraciones entre aplicaciones de terceros y plataformas en la nube.

Según el análisis inicial, el punto de entrada fue el abuso de la integración Salesloft Drift-Salesforce. El actor extrajo tokens OAuth válidos, lo que permitió el acceso directo a los endpoints de Salesforce sin tener que interactuar con los sistemas de autenticación tradicionales (por ejemplo, MFA o cookies de sesión).

Este vector explota una debilidad inherente del protocolo OAuth: los tokens de portador. Si se roba un token de portador, otorga acceso completo hasta su vencimiento, independientemente del contexto en el que se utilice. Una vez obtenido el token de portador OAuth (por ejemplo, mediante robo de registros, volcados de memoria o intercepción),

puede reutilizarse en otra sesión, desde otro dispositivo o desde otra red, sin necesidad de conocer la contraseña ni de pasar la autenticación multifactor. En la práctica, el token robado se convierte en un «pasaporte válido» hasta su vencimiento.

Los atacantes orquestaron enumeraciones automatizadas mediante scripts de Python, con consultas masivas a las API de Salesforce, obteniendo conjuntos de datos que contenían correos electrónicos, números de teléfono y otra información de contacto empresarial.

Análisis TTP

• Acceso inicial: Explotación de la integración SaaS (Salesloft Drift →) Salesforce).
• Acceso a credenciales: Exfiltración de tokens OAuth mediante ataques dirigidos a registros o entornos de CI/CD comprometidos.
• Evasión de defensa: Uso de tokens válidos para evitar alertas sobre inicios de sesión anómalos o intentos fallidos de MFA.
• Recopilación: Extracción masiva mediante script de Python (indicador de automatización e infraestructura consolidada).
• Exfiltración: Traslado de conjuntos de datos a la infraestructura C2, probablemente implementados en proveedores legítimos de la nube para desviar el tráfico.

Este enfoque demuestra un alto nivel de madurez operativa, con un enfoque claro en la persistencia sigilosa y el enmascaramiento del ruido operativo de SaaS.

Zscaler confirmó que la vulnerabilidad se limitó al entorno de Salesforce y no a los sistemas de seguridad principales. Los datos exfiltrados incluían información de contacto empresarial, sin impacto directo en la infraestructura de red ni en los servicios SASE; no se detectó manipulación de configuraciones ni de código ejecutable.

Sin embargo, incluso datos aparentemente de bajo impacto pueden proporcionar una base privilegiada para futuras operaciones de phishing selectivo contra clientes y socios, robando la confianza en la marca Zscaler.

Consideraciones arquitectónicas: Debilidades del modelo SaaS

Este incidente confirma problemas críticos conocidos, pero a menudo ignorados:

• Tokens OAuth como punto único de fallo: Sin mecanismos de rotación rápida, un alcance riguroso y la vinculación contextual, se convierten en equivalentes a credenciales estáticas.
• Exposición de API: Las plataformas SaaS expuestas a través de API a menudo carecen de limitación de velocidad granular y detección de anomalías, lo que facilita el scraping a gran escala.
• Confianza de terceros: Cada aplicación integrada amplía el perímetro de riesgo; La seguridad de todo el ecosistema depende de su punto más débil.
• Brechas de visibilidad: Los registros de OAuth y los registros de auditoría de API no siempre están correctamente centralizados en SIEM, lo que reduce la capacidad de detección.

Mitigaciones técnicas y mejores prácticas

• Reforzamiento de tokens: Implementación de PKCE (clave de prueba para intercambio de código) y vinculación de tokens para reducir Repetición de riesgos.
• Rotación agresiva: Tokens de corta duración, con actualización gestionada mediante canales seguros.
• Minimización del alcance: Limitar los privilegios de los tokens al mínimo necesario (principio de privilegio mínimo).
• Monitorización de API: Las anomalías en las llamadas a la API (p. ej., picos de solicitudes, consultas masivas) deben activar alertas en tiempo real.
• Confianza cero Aplicación: Incluso para aplicaciones internas y SaaS, cada acceso debe verificarse dinámicamente según el contexto.

Conclusiones

El ataque a Zscaler no es solo un incidente aislado, sino una llamada de atención para toda la industria. Las arquitecturas SaaS, por su naturaleza interconectada, erosionan el concepto tradicional de perímetro. En este escenario, la resiliencia depende de la capacidad de gestionar proactivamente la tokenización, la exposición de API y a terceros.

El caso de Zscaler demuestra que ni siquiera los actores globales de seguridad son inmunes a las vulnerabilidades de la cadena de suministro. El futuro de la seguridad en la nube requiere un cambio de paradigma: tratar cada integración como un vector de amenaza potencial y aplicar controles de seguridad por diseño a cada capa de la cadena de suministro digital.

Ada Spinelli


Lista degli articoli