Redazione RHC : 2 septiembre 2025 10:37
Un ciberataque a gran escala ha afectado a la empresa de seguridad Zscaler, que ha confirmado oficialmente haber sido víctima de una brecha de seguridad en su cadena de suministro. Este ataque expuso los datos de contacto de los clientes debido a credenciales de Salesforce comprometidas, vinculadas a la plataforma de marketing Salesloft Drift. El incidente, que se hizo público el 31 de agosto de 2025, fue el resultado de una campaña más amplia dirigida a los tokens OAuth de Salesloft Drift, que involucró a más de 700 organizaciones a nivel mundial.
La brecha de seguridad se debe a un ataque más amplio a la cadena de suministro de Salesloft Drift, en el que los actores de amenazas robaron tokens OAuth y de actualización. Estos tokens otorgaron acceso no autorizado a las instancias de clientes de Salesforce, lo que permitió la exfiltración de información confidencial. En su aviso, Zscaler confirmó que su instancia de Salesforce se encontraba entre las afectadas.
«Como parte de esta campaña, personas no autorizadas obtuvieron acceso a las credenciales de Salesloft Drift de sus clientes, incluido Zscaler», declaró la empresa. Tras un análisis detallado, determinamos que estas credenciales permitían acceso limitado a ciertos datos de Salesforce.
Zscaler ha declarado que la filtración de datos solo afectó a su sistema Salesforce, lo que descarta cualquier impacto en los productos, la infraestructura o los servicios de Zscaler. Si bien hasta la fecha no se han detectado casos de abuso, la compañía recomienda a sus clientes que se mantengan alerta ante posibles intentos de phishing o ingeniería social que puedan explotar la información filtrada.
Zscaler ha implementado una serie de medidas de mitigación para contener el incidente: se han revocado todas las integraciones de Salesloft Drift con Salesforce, se han rotado los tokens de API para evitar futuros abusos y, para reducir el riesgo de ingeniería social, se ha implementado la autenticación avanzada de clientes durante las llamadas de soporte. La compañía también confirmó que la investigación del incidente continúa para identificar completamente el alcance de la vulnerabilidad y garantizar la seguridad total de las integraciones.
Google Threat Intelligence ha atribuido la vulnerabilidad de Drift al grupo UNC6395, responsable del robo de casos de soporte de Salesforce para recopilar credenciales, claves de acceso de AWS, tokens de Snowflake y otros datos confidenciales. Según los investigadores, los atacantes demostraron tácticas avanzadas de seguridad operativa, como la eliminación de procesos de consulta para ocultar sus actividades, aunque los registros permanecieron disponibles para análisis forense. Sin embargo, la campaña no se limitó a la integración de Drift con Salesforce: los hackers también comprometieron Drift Email, obteniendo acceso a datos de CRM y automatización de marketing, y aprovechando tokens OAuth robados para infiltrarse en cuentas de Google Workspace y leer correos electrónicos de la empresa.
RedazioneMuchos de nosotros crecimos con Hiroshi Shiba, de Jeeg, el robot de acero que hablaba con su difunto padre, el profesor Senjiro Shiba, científico y arqueólogo, dentro de una gran computadora. En un ...
Los atacantes están explotando activamente una vulnerabilidad crítica en el sistema de protección de aplicaciones web (WAF) FortiWeb de Fortinet, que podría utilizarse como medio para realizar ata...
En uno de los foros más populares de Rusia para la compraventa de vulnerabilidades y herramientas de ataque, el hilo apareció como un anuncio comercial estándar, pero su contenido dista mucho de se...
A menudo hablamos del servicio de ransomware como servicio (RaaS) LockBit, recientemente renovado como LockBit 3.0, que sigue aportando innovaciones significativas al panorama del ransomware. Estas in...
En esta apasionante historia, viajaremos a 1959 al Club de Ferrocarriles en Miniatura del MIT Tech y conoceremos a Steve Russell. Steve fue uno de los primeros hackers y escribió uno de los primeros ...
