Redazione RHC : 2 septiembre 2025 10:37
Un ciberataque a gran escala ha afectado a la empresa de seguridad Zscaler, que ha confirmado oficialmente haber sido víctima de una brecha de seguridad en su cadena de suministro. Este ataque expuso los datos de contacto de los clientes debido a credenciales de Salesforce comprometidas, vinculadas a la plataforma de marketing Salesloft Drift. El incidente, que se hizo público el 31 de agosto de 2025, fue el resultado de una campaña más amplia dirigida a los tokens OAuth de Salesloft Drift, que involucró a más de 700 organizaciones a nivel mundial.
La brecha de seguridad se debe a un ataque más amplio a la cadena de suministro de Salesloft Drift, en el que los actores de amenazas robaron tokens OAuth y de actualización. Estos tokens otorgaron acceso no autorizado a las instancias de clientes de Salesforce, lo que permitió la exfiltración de información confidencial. En su aviso, Zscaler confirmó que su instancia de Salesforce se encontraba entre las afectadas.
«Como parte de esta campaña, personas no autorizadas obtuvieron acceso a las credenciales de Salesloft Drift de sus clientes, incluido Zscaler», declaró la empresa. Tras un análisis detallado, determinamos que estas credenciales permitían acceso limitado a ciertos datos de Salesforce.
Zscaler ha declarado que la filtración de datos solo afectó a su sistema Salesforce, lo que descarta cualquier impacto en los productos, la infraestructura o los servicios de Zscaler. Si bien hasta la fecha no se han detectado casos de abuso, la compañía recomienda a sus clientes que se mantengan alerta ante posibles intentos de phishing o ingeniería social que puedan explotar la información filtrada.
Zscaler ha implementado una serie de medidas de mitigación para contener el incidente: se han revocado todas las integraciones de Salesloft Drift con Salesforce, se han rotado los tokens de API para evitar futuros abusos y, para reducir el riesgo de ingeniería social, se ha implementado la autenticación avanzada de clientes durante las llamadas de soporte. La compañía también confirmó que la investigación del incidente continúa para identificar completamente el alcance de la vulnerabilidad y garantizar la seguridad total de las integraciones.
Google Threat Intelligence ha atribuido la vulnerabilidad de Drift al grupo UNC6395, responsable del robo de casos de soporte de Salesforce para recopilar credenciales, claves de acceso de AWS, tokens de Snowflake y otros datos confidenciales. Según los investigadores, los atacantes demostraron tácticas avanzadas de seguridad operativa, como la eliminación de procesos de consulta para ocultar sus actividades, aunque los registros permanecieron disponibles para análisis forense. Sin embargo, la campaña no se limitó a la integración de Drift con Salesforce: los hackers también comprometieron Drift Email, obteniendo acceso a datos de CRM y automatización de marketing, y aprovechando tokens OAuth robados para infiltrarse en cuentas de Google Workspace y leer correos electrónicos de la empresa.
RedazioneGoogle ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...
Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...
Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
