Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Vulnerabilidad Violación de datos de Salesloft

Violación de datos de Salesloft

Por Mezo en Vulnerabilidad, Amenaza persistente avanzada (APT)
Traducir a:

Un ciberataque a gran escala ha comprometido la integración de Salesloft con el agente de chat Drift AI, lo que ha permitido a los hackers robar tokens de OAuth y de actualización. El actor de amenazas, identificado como UNC6395, explotó estos tokens robados para vulnerar los entornos de los clientes de Salesforce. Expertos en seguridad han identificado más de 700 organizaciones como potencialmente afectadas.

Cronología de la violación

Las investigaciones revelan que la actividad maliciosa se extendió del 8 al 18 de agosto de 2025. Durante este período, los atacantes aprovecharon tokens OAuth comprometidos vinculados a Drift para infiltrarse en instancias de Salesforce. Una vez dentro, exportaron cantidades masivas de datos corporativos con el objetivo de recopilar credenciales confidenciales como:

  • Claves de acceso de Amazon Web Services (AWS)
  • Contraseñas
  • Tokens relacionados con Snowflake

Métodos de ataque y técnicas de combate

Lo que distingue a esta campaña es la precisión metódica de UNC6395. No realizaron una intrusión aislada, sino que lanzaron ataques estructurados y repetidos en cientos de inquilinos de Salesforce. Las observaciones clave incluyen:

Ejecución disciplinada : se ejecutaron consultas sistemáticamente para identificar y extraer credenciales.

Conciencia operativa : los atacantes eliminaron trabajos de consulta para ocultar rastros de sus actividades.

Selección de objetivos : muchas de las organizaciones atacadas eran proveedores de tecnología y seguridad, lo que sugiere que podría tratarse de un intento de infiltración en la cadena de suministro.

Al comprometer a proveedores y prestadores de servicios, el grupo se posicionó para expandir los ataques hacia los ecosistemas de clientes y socios.

Respuesta de Salesloft y Salesforce

Salesloft emitió un aviso el 20 de agosto de 2025, reconociendo la filtración y confirmando que había revocado todas las conexiones entre Drift y Salesforce. Salesforce emitió su propio comunicado, señalando que solo un pequeño número de clientes se vio directamente afectado. Ambas compañías han tomado medidas inmediatas tras el incidente:

  • Tokens de acceso y actualización activos invalidados
  • Se eliminó Drift de AppExchange
  • Colaboraron para contener el ataque y evaluar el impacto

Salesloft enfatizó que el incidente no afecta a las organizaciones sin integraciones de Salesforce.

Panorama de amenazas más amplio

Los entornos de Salesforce se han convertido en objetivos cada vez más lucrativos para grupos con motivaciones económicas. Otros clústeres, como UNC6040 y UNC6240 (ShinyHunters), son conocidos por explotar entornos SaaS, e incluso UNC6240 se asocia con Scattered Spider (UNC3944) para campañas de acceso inicial.

Actualmente, no existe evidencia que vincule a UNC6395 con estos grupos, lo que lo convierte en un nuevo y distintivo grupo de amenazas. Sin embargo, la escala, el enfoque y la sofisticación de su campaña lo sitúan en la misma categoría de adversarios de alto riesgo.

Mitigación y próximos pasos

Salesloft ha contratado a proveedores de seguridad externos para apoyar las investigaciones y las medidas de remediación. La empresa insta a los administradores a volver a autenticar las conexiones de Salesforce para restaurar las integraciones y tomar precauciones de seguridad adicionales.

Las recomendaciones clave incluyen:

  • Revocación y rotación de claves API existentes
  • Reconectando las integraciones de Drift con nuevas claves
  • Revisión de registros para detectar consultas sospechosas y posible exposición de datos
  • Realizar investigaciones más profundas para determinar el impacto

Para las organizaciones que gestionan conexiones de Drift mediante claves API, se recomienda encarecidamente la rotación proactiva de claves. Sin embargo, Salesloft ya está gestionando directamente las integraciones con OAuth.

Conclusión final

Esta campaña destaca los crecientes riesgos de las integraciones de terceros en los ecosistemas SaaS. Al abusar de tokens OAuth robados, UNC6395 demostró su capacidad para realizar operaciones dirigidas, sigilosas y orientadas a la cadena de suministro. El evento sirve como recordatorio de que las plataformas en la nube, si bien potentes, siguen siendo objetivos prioritarios para los actores de amenazas que buscan explotar las relaciones de confianza en toda la cadena de suministro digital.

Tendencias

Mas Visto

Cargando...