descubra cómo se ven afectadas las empresas de ciberseguridad tras la filtración de datos de salesforce y salesloft, con detalles sobre las empresas afectadas y medidas de seguridad recomendadas para mitigar los riesgos.
Publicado el por Franck F.

Empresas de ciberseguridad en el punto de mira tras la filtración de datos de Salesforce-Salesloft

El reciente ataque a la integración de Drift de Salesloft con Salesforce ha afectado a todo el ecosistema de proveedores de ciberseguridad, exponiendo registros de clientes y artefactos internos de varias empresas líderes. Los primeros análisis atribuyen el incidente a una amenaza que utilizó tokens OAuth robados para acceder a instancias de Salesforce, exportando sistemáticamente grandes volúmenes de datos. Las consecuencias van más allá de la filtración aislada de datos: los procedimientos operativos, los modelos de confianza de terceros y las relaciones entre proveedores y clientes están siendo objeto de escrutinio, ya que los principales proveedores de seguridad confirman distintos niveles de impacto. Este informe examina el alcance, los mecanismos técnicos, los manuales de contención, las lecciones de la cadena de suministro y las medidas estratégicas de refuerzo relevantes para los equipos de seguridad y los ejecutivos.

Empresas de ciberseguridad afectadas por la filtración de datos de Salesforce-Salesloft: Alcance y cronología

La cadena de ataques comenzó cuando la plataforma de chatbot Drift, propiedad de Salesloft, vio comprometidos sus tokens OAuth, lo que permitió al actor de la amenaza llamar a las API de Salesforce con derechos delegados. El Grupo de Inteligencia sobre Amenazas de Google (GTIG) marcó el patrón y vinculó la actividad al clúster rastreado como UNC6395. Las organizaciones con canalizaciones Salesloft-Drift-to-Salesforce profundamente integradas eran especialmente vulnerables porque los tokens concedían amplios privilegios de lectura/exportación en todos los objetos CRM.

Problema: cómo se desarrolló la brecha

La secuencia técnica incluye robo de tokens, reutilización de tokens, exportación masiva de datos y recolección de credenciales. Es probable que los tokens se obtuvieran a través de cuentas de desarrollador o de servicio comprometidas y, a continuación, se utilizaran para consultar Salesforce a través de puntos finales de API, aprovechando los ámbitos de integración existentes para exportar listas de contactos, casos de asistencia y notas confidenciales. El atacante dio prioridad a la recopilación de credenciales de acceso e información de identificación personal para facilitar posteriores movimientos laterales.

  • Acceso inicial: Credenciales OAuth de Salesloft/Drift comprometidas.
  • Extensión de acceso: Llamadas API a Salesforce con ámbitos delegados.
  • Exfiltración de datos: Exportación masiva de objetos y archivos adjuntos de CRM.
  • Actividades de seguimiento: Recogida de credenciales y posible spear-phishing dirigido a los clientes.

Entre las víctimas confirmadas y denunciadas figuran varios proveedores de seguridad y servicios de alto nivel. Las revelaciones públicas y los informes de los medios de comunicación han nombrado o implicado a empresas como Redes de Palo Alto, CrowdStrike, Proofpointy otros en la cadena de suministro de las instancias de Salesforce afectadas. Otras organizaciones, incluidas FireEye, Symantec, Fortinet, Trend Micro, Punto de control, McAfee, y Rastro oscuro han estado vigilando en busca de indicadores de peligro en sus entornos y conjuntos de datos de clientes.

Puntos destacados del calendario e indicadores observables

Fechas clave: revelación inicial de GTIG, confirmaciones posteriores de los proveedores y avisos de seguimiento a los clientes. Los indicadores de compromiso (IoC) suelen incluir tokens OAuth sospechosos, volúmenes de exportación de API anómalos y nuevas sesiones remotas desde rangos de IP extranjeros. Las organizaciones deben asignar estos IoC a su telemetría SIEM y EDR para determinar las posibles ventanas de exposición.

Vendedor / Organización Impacto confirmado Probables tipos de datos filtrados Estado de la mitigación
Redes de Palo Alto Investigación confirmada Contactos de clientes, texto de las solicitudes de asistencia Fichas revocadas, auditoría en curso
CrowdStrike Seguimiento y evaluación Registros de Salesforce, listas de clientes potenciales Clientes alertados, detecciones añadidas
Proofpoint Exposición declarada Metadatos relacionados con el correo electrónico, información de contacto Medidas correctoras de alcance limitado
FireEye Investigación de posibles accesos Artefactos de respuesta a incidentes (posible) Supervisión reforzada
Trend Micro Evaluación de los registros Entradas en Salesforce CRM Rotación de fichas
Symantec Exposición potencial en estudio Registros de cara al cliente Notificaciones a las partes interesadas
Fortinet Escucha Casos de apoyo Auditoría de los permisos de integración
Punto de control Revisar Datos de contacto CRM Medidas correctoras
McAfee Investigación en curso Metadatos del cliente Normas de detección añadidas
Rastro oscuro Actividad supervisada Entradas operativas Ajuste de la telemetría de red

Conclusión práctica: los equipos deben buscar volúmenes anormales de exportaciones de Salesforce y cualquier llamada a la API autenticada por la identidad de la aplicación Salesloft/Drift. Correlacione estos eventos con los registros de autenticación, las sesiones VPN y las alertas EDR. Una respuesta centrada en el compromiso puede limitar los daños a largo plazo y reducir la ventana para la recolección de credenciales.

LEER  Los clientes de Palo Alto Networks y Zscaler se enfrentan a interrupciones debidas a ciberataques en la cadena de suministro

Visión final: La detección precoz se basa en la visibilidad de los patrones de uso de OAuth por parte de terceros y en la rápida asignación de objetos exportados a categorías de impacto empresarial.

Empresas de ciberseguridad Vulnerabilidades expuestas por la explotación del token OAuth de Salesloft Drift

El incidente pone de manifiesto la debilidad sistémica de las prácticas de delegación de OAuth y los riesgos inherentes a los chatbots de terceros integrados. Los tokens OAuth pueden actuar como claves de larga duración si no se emiten con el principio del menor privilegio, una vida corta y un alcance granular. En entornos de proveedores complejos en los que empresas como CrowdStrike y Redes de Palo Alto integrar plataformas de marketing, ventas y asistencia, un token demasiado permisivo puede saltarse muchos controles.

Problema: integraciones con demasiados privilegios

Muchas organizaciones conectan aplicaciones de terceros a Salesforce con amplios alcances (privilegios de lectura y exportación de varios objetos) porque las limitaciones granulares impiden los flujos de trabajo empresariales. Esta comodidad crea una superficie de ataque. Un adversario que obtenga un token hereda estos privilegios y puede automatizar grandes extracciones de datos o pivotar en cuentas recopilando credenciales almacenadas en registros de Salesforce.

  • Mala configuración del alcance: integraciones a las que se concede más acceso del necesario.
  • Falta de rotación de fichas: Las fichas válidas más allá de ventanas cortas aumentan el riesgo.
  • Supervisión insuficiente: fallo en la detección de patrones atípicos de llamadas a la API.
  • Secretos centralizados: cuentas de servicios compartidos que carecen de una gestión secreta moderna.

Los ejemplos ilustran cómo funciona el ataque en la práctica. Un equipo de operaciones de marketing configura Drift para enviar transcripciones de conversaciones a clientes potenciales de Salesforce. La integración utiliza un token OAuth vinculado a una cuenta de servicio con privilegios de exportación. Un atacante que exfiltre el token con acceso a Salesloft lo supervisa y lo reutiliza para ejecutar consultas masivas, recopilando listas de contactos y archivos adjuntos. A continuación, el atacante utiliza las direcciones de correo electrónico recopiladas para realizar campañas de phishing dirigidas tanto a clientes como a empleados, aumentando el radio de explosión.

Patrones de mitigación y endurecimiento técnico

Entre los controles técnicos que reducen riesgos similares se incluyen la imposición de tiempos de vida cortos de los tokens, la aplicación de la minimización del alcance, el uso de técnicas de vinculación de tokens y la garantía de que las aplicaciones de terceros se registran con URI de redirección y verificación adecuadas. Además, habilitar el registro detallado a nivel de objeto en Salesforce y transmitir los registros a un SIEM permite a los equipos de seguridad detectar actividades anómalas de exportación de datos.

  1. Implantar límites de vida útil de los tokens y rotación automatizada.
  2. Aplique los ámbitos de privilegio mínimo y revise los permisos de integración trimestralmente.
  3. Bloquee las cuentas de servicio y utilice claves respaldadas por hardware siempre que sea posible.
  4. Transmita los registros de auditoría de Salesforce a SIEM y aplique análisis para volúmenes de exportación inusuales.

Las referencias y guías pertinentes pueden ayudar a remediar los problemas y actualizar las políticas. Para un contexto más amplio de incidentes y mejores prácticas de ciberseguridad, son útiles recursos como la colección DualMedia sobre tendencias de ciberseguridad y respuesta a incidentes: Últimas ideas sobre ciberseguridady guías para los riesgos de seguridad relacionados con la IA: Riesgo para la seguridad de la IA. Una lectura técnica específica sobre la seguridad de las identidades y los tokens puede orientar la selección de los controles.

Visión final: Las desconfiguraciones de OAuth y los tiempos de vida de los tokens son vulnerabilidades tácticas con consecuencias estratégicas; abordarlas requiere cambios tanto políticos como de ingeniería alineados con los flujos de negocio.

Estrategias de respuesta de las empresas de ciberseguridad y mejores prácticas de contención de incidentes

La contención eficaz tras una exfiltración basada en tokens exige la revocación inmediata, la conservación forense y la comunicación coordinada de las partes interesadas. Proveedores y clientes deben operar bajo un manual unificado de respuesta a incidentes para evitar mensajes contradictorios y acelerar la mitigación. Organizaciones como Proofpoint y CrowdStrike suelen recomendar una respuesta en tres fases: contener, evaluar y remediar. Esta matriz se aplica igualmente a las víctimas de ataques OAuth de terceros.

LEER  Las juntas directivas deben adoptar una postura proactiva en materia de ciberseguridad

Acciones de contención

La contención debe priorizar la invalidación de tokens y el restablecimiento del control de acceso. La revocación de los tokens de Salesloft/Drift en la capa de integración pone fin al acceso a la API durante el vuelo. A continuación, rote las credenciales a las que se hace referencia en los registros exportados y aplique la revalidación multifactor para las cuentas que podrían ser objeto de phishing de seguimiento. Las comunicaciones deben ser escalonadas: sesiones informativas internas, notificaciones a los reguladores cuando sea necesario, y avisos a los clientes que expliquen la exposición sin amplificar el riesgo de abuso.

  • Revocación inmediata: revocar tokens OAuth comprometidos e invalidar tokens de actualización.
  • Rotación de credenciales: rotar contraseñas, claves y certificados referenciados en los datos exportados.
  • Captura forense: preservar los registros y las exportaciones para la atribución y las necesidades legales.
  • Notificaciones a los clientes: ofrecer orientación sobre los indicadores de phishing y las medidas de mitigación recomendadas.

Los estudios de casos de incidentes de gran repercusión proporcionan información práctica. Cuando una filtración dirigida a un proveedor expuso datos de soporte, los clientes afectados recibieron indicadores de peligro y la recomendación de restablecer las credenciales y vigilar los correos electrónicos sospechosos. Este enfoque coordinado ayudó a limitar la explotación de las credenciales de los clientes y a reducir los índices de phishing.

Evaluación y reparación

Tras la contención, el triaje se centra en la asignación de flujos de datos y la evaluación del impacto empresarial. La actividad clave incluye inventariar qué objetos de Salesforce se exportaron, auditar el contenido en busca de credenciales, tokens o PII y priorizar la corrección de las cuentas que contienen artefactos de alto valor. Para ajustar la detección, añada reglas que se activen en caso de exportaciones masivas anómalas, creación de nuevos tokens de integración o comportamiento atípico del cliente API.

  1. Asigne objetos exportados a categorías de riesgo (credenciales, PII, IP, listas de clientes).
  2. Dar prioridad a la corrección (primero rotar las credenciales y luego notificar las exposiciones de PII).
  3. Implantar correcciones a largo plazo: mínimos privilegios, automatización de la rotación de tokens y listas de clientes autorizados.

Los responsables operativos también deberían consultar recursos externos sobre gestión de incidentes y gobernanza. Por ejemplo, el catálogo de incidentes y las guías de comunicación de crisis de DualMedia son complementos prácticos de los manuales internos: Noticias sobre filtraciones de datos y Comunicación de crisis en caso de ciberataque.

Visión final: La revocación rápida y coordinada de tokens y la higiene de credenciales, combinadas con una comunicación transparente entre las partes interesadas, reducen sustancialmente la capacidad del adversario para sacar provecho de los datos filtrados.

Lecciones sobre la cadena de suministro de las empresas de ciberseguridad: Integraciones de terceros y riesgo OAuth

El incidente de Salesloft-Drift demuestra cómo un único vector de terceros puede propagarse por todo el ecosistema de proveedores, afectando incluso a aquellos con programas de seguridad maduros. La gestión de riesgos de la cadena de suministro debe extenderse más allá de las listas de materiales de software para abarcar la delegación de identidades, los ciclos de vida de integración y las obligaciones contractuales de seguridad. Los equipos de seguridad deben tratar las aplicaciones OAuth de terceros como activos de primera clase, sujetos a supervisión continua y SLA contractuales para la higiene de la seguridad.

Problema: límites de confianza e integraciones opacas

Las organizaciones a menudo carecen de visibilidad sobre los permisos exactos que una aplicación de terceros utiliza una vez integrada. Es posible que los términos contractuales no exijan prácticas granulares de registro o gestión de tokens, lo que deja a los clientes en la oscuridad cuando se produce un compromiso ascendente. Esta opacidad dificulta la rápida atribución y contención.

  • Brecha de visibilidad: Registros insuficientes del uso de tokens de terceros.
  • Brecha contractual: falta de acuerdos de nivel de servicio para la notificación de incidentes y la gestión de fichas.
  • Brecha operativa: no existe un inventario centralizado de identidades delegadas de terceros.
  • Brecha de pruebas: pruebas adversarias limitadas de escenarios de uso indebido de la integración.
LEER  Cómo proteger su propiedad sin conexión a Internet

Una solución práctica requiere un enfoque multidisciplinar que combine la adquisición, la ingeniería y la seguridad. Mantenga un inventario dinámico de aplicaciones de terceros, su alcance y la justificación empresarial de cada permiso. Durante la adquisición, exija a los proveedores que proporcionen diagramas de arquitectura sobre cómo se emiten, almacenan y rotan los tokens OAuth, y exija registros de auditoría sobre el uso de los tokens. Además, asegúrese de que los contratos incluyan cláusulas de notificación rápida en caso de sospecha de compromiso y exija la certificación periódica de la seguridad por parte de terceros.

Controles políticos y de gobernanza

Los cambios de gobernanza deben utilizar criterios objetivos para determinar los alcances y permisos de integración aceptables. Realice una revisión trimestral de todas las integraciones de alto riesgo para certificar que los ámbitos siguen siendo necesarios. Adopte principios de confianza cero para el acceso a las API: prefiera tokens de tiempo limitado, aplique políticas de acceso condicional y aplique listas de aplicaciones permitidas en el proveedor de identidades o en la pasarela de API.

  1. Crear un registro centralizado de integración de terceros con calificaciones de riesgo asignadas.
  2. Cumplimiento de las obligaciones contractuales: gestión de tokens, notificación de infracciones, registros de auditoría.
  3. Adopte la exploración automatizada de ámbitos excesivos y uso anómalo de tokens.
  4. Llevar a cabo escenarios de equipo rojo que simulen el robo y uso indebido de tokens OAuth.

En los recursos de DualMedia se puede encontrar más contexto y lecturas sobre la gestión del riesgo de terceros y el mantenimiento de la higiene de la ciberseguridad: Ciberhigiene y cruces de aprovisionamiento/seguridad como Transformación de la ciberseguridad en VA.

Visión final: Tratar las aplicaciones de terceros habilitadas para OAuth como activos de la cadena de suministro sujetos a la misma evaluación continua de riesgos y aplicación contractual que los componentes de software.

Las empresas de ciberseguridad se preparan para el futuro: Política, detección y preparación del personal

La resistencia a largo plazo contra los ataques a la cadena de suministro basados en tokens requiere una combinación de políticas, ingeniería de plataformas e inversiones en capital humano. Los equipos de seguridad deben equilibrar la productividad de los desarrolladores con rigurosos controles de identidad. Proveedores líderes como CrowdStrike y Redes de Palo Alto están revisando los planes de integración, mientras que otros como Proofpoint y Rastro oscuro están ajustando los modelos de detección para captar los patrones de abuso posteriores a la filtración.

Hoja de ruta técnica para la prevención y la detección

Las medidas técnicas clave incluyen la implementación de tokens de corta duración y de audiencia restringida, la vinculación de tokens a certificados de cliente y el aprovechamiento de patrones de acceso justo a tiempo. Las mejoras en la detección deben incorporar análisis basados en el comportamiento para detectar picos repentinos en la actividad de exportación, patrones inusuales de acceso a objetos y correlación del uso de tokens de terceros con indicadores externos de inteligencia de amenazas.

  • Fichas efímeras: emitir tokens con un TTL mínimo y flujos de trabajo de renovación automatizados.
  • Fijación de fichas: restringir el uso de tokens a clientes y rangos de IP específicos cuando sea factible.
  • Análisis del comportamiento: utilizar UEBA para detectar el consumo anómalo de API.
  • Integración de información sobre amenazas: ingesta de indicadores de GTIG y fuentes comerciales para aumentar la detección.

La preparación del personal incluye ejercicios de simulación de situaciones en las que los tokens OAuth de terceros se ven comprometidos, formación cruzada entre los equipos de identidad, aplicación y seguridad, e integración de ingenieros de seguridad en los equipos de producto para influir en los patrones de integración. Los ejercicios realistas del equipo rojo, que simulan la recolección y el uso indebido de tokens, pueden poner a prueba los procedimientos de detección y respuesta.

Política, cumplimiento y confianza del cliente

Las políticas deben codificar los mínimos privilegios por defecto, el registro obligatorio y las revisiones periódicas de permisos. Los equipos de cumplimiento deben evaluar si es necesario divulgar la información reglamentaria en función de las categorías de datos filtrados. Una comunicación transparente con el cliente, que incluya orientaciones concisas sobre higiene de credenciales e indicadores de phishing, es esencial para mantener la confianza después de un incidente.

  1. Institucionalizar las revisiones de permisos como parte del SDLC para las integraciones.
  2. Obligar a la supervisión y alerta continuas de todas las aplicaciones OAuth en producción.
  3. Invierta en la formación del personal y en ensayos de incidentes interfuncionales.
  4. Definir plantillas de comunicación claras para clientes y reguladores.

Para una lectura más profunda sobre la IA y las tendencias de seguridad que se cruzan con el riesgo de identidad y la respuesta a incidentes, consulte los recursos de DualMedia: Supervivencia de la ciberseguridad de la IA y Evolución histórica de la IA en ciberseguridad. También hay guías prácticas sobre trabajo remoto seguro y protección de puntos finales que complementan los controles de identidad: Seguridad de los trabajadores a distancia.

Visión final: La creación de resistencia frente a los riesgos de OAuth de terceros requiere combinar ciclos de vida de identidad reforzados, detección de comportamientos, cumplimiento contractual y una capacidad de respuesta práctica e interfuncional.