Redazione RHC : 2 septiembre 2025 10:37
Un ciberataque a gran escala ha afectado a la empresa de seguridad Zscaler, que ha confirmado oficialmente haber sido víctima de una brecha de seguridad en su cadena de suministro. Este ataque expuso los datos de contacto de los clientes debido a credenciales de Salesforce comprometidas, vinculadas a la plataforma de marketing Salesloft Drift. El incidente, que se hizo público el 31 de agosto de 2025, fue el resultado de una campaña más amplia dirigida a los tokens OAuth de Salesloft Drift, que involucró a más de 700 organizaciones a nivel mundial.
La brecha de seguridad se debe a un ataque más amplio a la cadena de suministro de Salesloft Drift, en el que los actores de amenazas robaron tokens OAuth y de actualización. Estos tokens otorgaron acceso no autorizado a las instancias de clientes de Salesforce, lo que permitió la exfiltración de información confidencial. En su aviso, Zscaler confirmó que su instancia de Salesforce se encontraba entre las afectadas.
«Como parte de esta campaña, personas no autorizadas obtuvieron acceso a las credenciales de Salesloft Drift de sus clientes, incluido Zscaler», declaró la empresa. Tras un análisis detallado, determinamos que estas credenciales permitían acceso limitado a ciertos datos de Salesforce.
Zscaler ha declarado que la filtración de datos solo afectó a su sistema Salesforce, lo que descarta cualquier impacto en los productos, la infraestructura o los servicios de Zscaler. Si bien hasta la fecha no se han detectado casos de abuso, la compañía recomienda a sus clientes que se mantengan alerta ante posibles intentos de phishing o ingeniería social que puedan explotar la información filtrada.
Zscaler ha implementado una serie de medidas de mitigación para contener el incidente: se han revocado todas las integraciones de Salesloft Drift con Salesforce, se han rotado los tokens de API para evitar futuros abusos y, para reducir el riesgo de ingeniería social, se ha implementado la autenticación avanzada de clientes durante las llamadas de soporte. La compañía también confirmó que la investigación del incidente continúa para identificar completamente el alcance de la vulnerabilidad y garantizar la seguridad total de las integraciones.
Google Threat Intelligence ha atribuido la vulnerabilidad de Drift al grupo UNC6395, responsable del robo de casos de soporte de Salesforce para recopilar credenciales, claves de acceso de AWS, tokens de Snowflake y otros datos confidenciales. Según los investigadores, los atacantes demostraron tácticas avanzadas de seguridad operativa, como la eliminación de procesos de consulta para ocultar sus actividades, aunque los registros permanecieron disponibles para análisis forense. Sin embargo, la campaña no se limitó a la integración de Drift con Salesforce: los hackers también comprometieron Drift Email, obteniendo acceso a datos de CRM y automatización de marketing, y aprovechando tokens OAuth robados para infiltrarse en cuentas de Google Workspace y leer correos electrónicos de la empresa.
RedazioneLa reciente confirmación por parte de Zscaler de una filtración de datos resultante de un ataque a la cadena de suministro constituye un caso práctico sobre la evolución de las amenazas contra eco...
Se ha descubierto una falla crítica de día cero, clasificada como CVE-2025-6543, en los sistemas Citrix NetScaler. Esta vulnerabilidad ha sido explotada activamente por hackers maliciosos desde mayo...
Una falla de seguridad en las apps de mensajería de WhatsApp para iOS y macOS de Apple ha sido corregida, según informó la compañía, tras ser probablemente explotada ampliamente junto con una vul...
NetScaler ha alertado a los administradores sobre tres nuevas vulnerabilidades en NetScaler ADC y NetScaler Gateway, una de las cuales ya se está utilizando en ataques activos. Hay actualizaciones di...
Un Jueves Negro para millones de usuarios de Microsoft Teams en todo el mundo. Una función clave de la plataforma de colaboración, la apertura de documentos incrustados de Office, ha sido repentinam...
