descubra cómo los clientes de palo alto networks y zscaler están experimentando interrupciones del servicio tras los recientes ciberataques a la cadena de suministro. conozca el impacto potencial y las acciones recomendadas para las empresas afectadas por este incidente de seguridad.
Publicado el por Franck F.

Los clientes de Palo Alto Networks y Zscaler se enfrentan a interrupciones debidas a ciberataques en la cadena de suministro

Los clientes de Palo Alto Networks y Zscaler están experimentando fricciones operativas después de que una intrusión generalizada en la cadena de suministro aprovechara credenciales e integraciones vinculadas a una plataforma de agente de chat de IA de terceros. El compromiso, rastreado a tokens OAuth asociados con Salesloft Drift y rastreado por Google Threat Intelligence Group como una campaña dirigida por UNC6395, expuso datos de Salesforce en múltiples proveedores de tecnología. Las organizaciones se enfrentan ahora a una cascada de notificaciones, medidas de corrección específicas y un renovado escrutinio de la higiene de los tokens y la gobernanza de la integración.

Este análisis tipo informe examina la mecánica técnica de la campaña, las repercusiones observables sobre Redes de Palo Alto y Escalador Z el ecosistema más amplio de proveedores, incluidos SolarWinds, FireEye, Microsoft, Cisco, Fortinet, CrowdStrike, Symantec y Kasperskyy prescribe mitigaciones operativas y arquitectónicas para los equipos responsables de la respuesta a incidentes y la seguridad de la plataforma.

Vector de ataque de la cadena de suministro: Cómo los tokens OAuth de Salesloft Drift condujeron a la exposición descendente de los clientes de Palo Alto Networks

La cadena de acontecimientos que precipitó la interrupción comenzó con tokens de autenticación comprometidos en un entorno de Salesloft Drift. Los actores de la amenaza utilizaron esos tokens para acceder a instancias integradas de Salesforce, extrayendo datos de contactos comerciales y otros artefactos de CRM. La actividad observada se extendió durante una ventana inicial notificada del 8 al 18 de agosto de 2025, pero las investigaciones de seguimiento revelaron que el impacto fue más amplio y persistió en varios entornos de clientes.

El análisis técnico indica el siguiente patrón de ataque:

  • Compromiso inicial del agente de chat de IA de terceros o de las credenciales administrativas de Salesloft Drift.
  • Exfiltración o reutilización de tokens OAuth vinculados a integraciones de Salesforce.
  • Enumeración de organizaciones derivadas con integraciones vinculadas, incluidos los principales proveedores de ciberseguridad.
  • Recopilación selectiva de información de contacto empresarial, cuentas de ventas internas, metadatos de casos y datos de licencias.

Para Redes de Palo AltoLa intrusión se aisló en la instancia de Salesforce de la empresa y no afectó a la telemetría del producto, los cortafuegos, los servicios en la nube ni la información sobre amenazas. La Unidad 42 dirigió las actividades de contención y desactivó rápidamente la integración implicada, tras lo cual inició un contacto directo con un conjunto limitado de clientes en los que era evidente que se había producido un acceso adicional. Los tipos de datos a los que supuestamente se accedió eran en su mayoría no confidenciales, pero incluían registros de contactos y cuentas que son valiosos para la ingeniería social y el phishing selectivo posterior.

Fase observada Técnica Impacto probable
Acceso inicial Tokens OAuth / claves API comprometidas Llamadas no autorizadas a la API de CRM
Descubrimiento Enumeración de registros de clientes vinculados Mapeo de contactos de alto valor
Recopilación de datos Extracción de correos electrónicos de empresas, números de teléfono, información sobre licencias Posibilidad de phishing y fraude en la concesión de licencias

Un caso práctico: un proveedor de nube de tamaño medio, denominado aquí NexusCorpse basó en una combinación de Redes de Palo Alto los contactos de soporte y la gestión de licencias basada en Salesforce. Después del compromiso de token, NexusCorp recibieron un aviso de que se habían leído campos internos de propiedad de cuentas y metadatos de asignación de licencias. La consecuencia más inmediata fue un aumento de los intentos de phishing de soporte dirigidos que imitaban la divulgación de los proveedores.

  • Entre las tácticas de los atacantes observadas se incluía el spear-phishing bien formado aprovechando nombres de cuentas reales.
  • Los flujos de trabajo internos del servicio de asistencia se interrumpieron brevemente mientras los proveedores validaban la identidad y reemitían los tokens.
  • Los registros de auditoría de terceros fueron esenciales para trazar los plazos y el alcance.
LEER  Una falla en Windows Update expone los sistemas a exploits zombi

Lecciones operativas de la Redes de Palo Alto hacen hincapié en la rápida segmentación de las integraciones afectadas, la revocación inmediata de los tokens expuestos y la notificación prioritaria a los clientes con pruebas de exposición. El incidente ilustra cómo un vector que parece periférico -una integración de chat de IA- puede producir un riesgo tangible para los proveedores empresariales que ofrecen productos y servicios de seguridad.

Información clave: Las integraciones vinculadas a tokens deben tratarse como superficies de ataque de primera clase; la invalidación rápida de tokens y los inventarios de integración centralizados reducen la exposición posterior.

Datos de clientes y licencias de Zscaler: Patrones de exposición y superficie de ataque en las integraciones de Salesforce

Escalador Z desveló un impacto posterior relacionado en el que los atacantes accedieron a datos de contacto empresariales comúnmente disponibles a través de la misma intrusión en la cadena de suministro. La empresa hizo hincapié en que sus productos e infraestructura no se vieron comprometidos; la exposición se limitó a las integraciones de Salesforce. Esta distinción es importante para el modelado de riesgos: la integridad del producto permaneció intacta, pero los metadatos empresariales y la información de licencias estaban en juego.

El Grupo de Inteligencia sobre Amenazas de Google (GTIG) y la colaboración de Mandiant identificaron a un actor de amenazas rastreado como UNC6395 que utilizaba tokens comprometidos de Salesloft Drift para acceder a instancias de Salesforce. El análisis mostró que la campaña se dirigía a cientos de víctimas potenciales y que el conjunto de organizaciones afectadas se extendía más allá de las revelaciones iniciales.

  • Tipos de datos a los que se accede: nombres, direcciones de correo electrónico de empresas, números de teléfono, estados de licencias de productos.
  • Principales vectores de riesgo: reutilización de credenciales para el posterior phishing, manipulación de licencias e ingeniería social.
  • Efectos secundarios: mayor escrutinio de los flujos de trabajo de asistencia y retrasos en el suministro de licencias mientras los proveedores revalidan los controles.

La credibilidad de las comunicaciones de los atacantes aumentaba porque los mensajes hacían referencia a datos que sólo podían conocerse a través de los registros CRM de los proveedores. Por ejemplo, un caso interceptado hacía referencia a un número de licencia de producto específico. Los destinatarios que veían detalles precisos procedentes del proveedor tenían más probabilidades de confiar en las solicitudes subsiguientes. Este comportamiento aumenta el peligro incluso cuando los sistemas técnicos (cortafuegos, proxies) permanecen intactos.

Categoría de datos Riesgo de exposición Mitigación
Información de contacto de la empresa Alta (phishing, suplantación de identidad) Limitar la visibilidad de los campos, redactar vistas públicas
Metadatos de licencia Media (renovaciones fraudulentas) Verificación en varios pasos de los cambios de licencia
Campos internos de la cuenta Bajo a medio (objetivo) Acceso y registro basados en funciones

Viñeta de un caso: AtlasBankZscaler, una institución financiera regional, experimentó un aumento de correos electrónicos fraudulentos de renovación después de que Zscaler revelara el acceso limitado a Salesforce. Los atacantes enviaron correos electrónicos que hacían referencia a fechas de caducidad de licencias específicas y números de tickets de soporte. Los intentos de fraude fueron bloqueados por la pila de protección de correo electrónico del banco, pero la detección sólo se produjo después de que el SOC correlacionara avisos de proveedores con patrones de correo entrante.

Para los equipos de seguridad, las medidas tácticas recomendadas incluyen:

  1. Asuma que los tokens vinculados a Salesloft Drift pueden estar comprometidos y rótelos.
  2. Implemente una redacción estricta a nivel de campo para el acceso externo a los registros de CRM.
  3. Dar prioridad a la verificación fuera de banda para las solicitudes de modificación de licencias.
LEER  Las principales empresas que debes incluir en tu currículum para una carrera en ciberseguridad, según lo recomendado por los reclutadores.

La coordinación operativa con los proveedores es importante. Zscaler y Palo Alto Networks se comprometieron a llegar a los clientes; sin embargo, la puntualidad y la granularidad de las notificaciones varían. Los manuales de incidencias centralizados y las funciones de enlace con los proveedores aceleran la verificación y reducen los cambios innecesarios.

Información clave: La restricción de la visibilidad de campo de CRM y la aplicación de controles fuera de banda para las operaciones de concesión de licencias reducen sustancialmente la superficie de ataque que suponen los compromisos de la cadena de suministro.

Manual de respuesta a incidentes: Contención, comunicación y recuperación para los clientes afectados

Una respuesta eficaz ante incidentes relacionados con datos CRM expuestos a la cadena de suministro es una mezcla de contención técnica y comunicaciones precisas. El siguiente manual sintetiza las mejores prácticas observadas en las respuestas de los proveedores y las directrices del sector para elaborar una lista de comprobación práctica para los equipos de seguridad de los clientes.

  • Acciones de contención inmediatas: revocar tokens, desactivar integraciones afectadas, aplicar restablecimientos de emergencia de MFA.
  • Evaluación del alcance: analizar los registros de la API, identificar los registros a los que se ha accedido y trazar las líneas temporales de los atacantes.
  • Contacto con los clientes: priorizar el contacto directo con los clientes en situación de riesgo evidente y proporcionar medidas correctoras.

Un flujo de incidentes recomendado incluye:

  1. Detectar y aislar la integración comprometida.
  2. Cuarentena de credenciales y rotación de tokens en origen.
  3. Registros de auditoría para montar una línea de tiempo forense.
  4. Implicar a los equipos jurídicos y de comunicación en la preparación de notificaciones específicas.
  5. Supervise los intentos secundarios de suplantación de identidad y robo de credenciales.
Fase Acciones clave Equipos responsables
Contención Revocar tokens OAuth, desactivar integraciones Operaciones en la nube, IAM
Investigación Recopilación de registros, análisis de llamadas a la API, acceso a mapas Equipo IR, Forense
Remediación Rotación de secretos, mejora de MFA, refuerzo de RBAC SecOps, DevOps
Comunicación Notificar a los clientes afectados, publicar avisos Legal, Comunicación, Éxito de clientes

Ejemplo práctico: tras la revelación de Palo Alto Networks, un proveedor de SaaS conocido como BrightApps utilizó los siguientes pasos para gestionar el impacto en el cliente. En primer lugar, BrightApps desactivó el conector Salesloft Drift implicado y rotó los tokens almacenados. A continuación, BrightApps ejecutó una consulta de registro específica para identificar las cuentas con eventos de lectura de usuarios no autorizados. Por último, BrightApps envió correos electrónicos personalizados a los clientes afectados con indicadores claros de lo que se había accedido y pasos para validar la autenticidad de las comunicaciones posteriores del proveedor.

Las principales tácticas de comunicación reducen el riesgo de explotación posterior:

  • Proporcione las marcas de tiempo exactas y los tipos de datos a los que se ha accedido para ayudar a los clientes a realizar el triaje.
  • Recomendar artefactos concretos que los clientes puedan utilizar para verificar la legitimidad de las actividades de divulgación de los proveedores.
  • Ofrezca medidas de protección temporales como el filtrado mejorado y las comprobaciones DMARC/DKIM para verificar la autenticidad del correo electrónico.

Los canales sociales son útiles para alertas amplias, pero deben complementarse con notificaciones directas. Un ejemplo de divulgación coordinada es visible cuando los proveedores de seguridad publicaron actualizaciones en blogs y siguieron con correos electrónicos a los clientes. Un único hilo de verdad autorizado reduce la confusión y evita el phishing oportunista vinculado al suceso.

Información clave: Una contención estrechamente coordinada y unas comunicaciones con los clientes transparentes y verificables son esenciales para evitar la explotación de los datos obtenidos en las violaciones de la cadena de suministro.

Riesgos sistémicos en el ecosistema de proveedores: De SolarWinds a las modernas plataformas de integración

Los ataques a la cadena de suministro no son nuevos; incidentes históricos como el SolarWinds y las anteriores intrusiones selectivas de proveedores de seguridad como FireEye sientan precedentes sobre cómo los adversarios utilizan la confianza como arma. Los ecosistemas SaaS y de integración actuales multiplican esos riesgos porque un único token o conector puede mediar en el acceso a muchos inquilinos posteriores.

LEER  CompTIA presenta una próxima certificación de ciberseguridad diseñada para profesionales en tecnología operativa

Principales observaciones del ecosistema:

  • Los incidentes heredados de la cadena de suministro enseñaron al sector que las relaciones de confianza con los proveedores son objetivos atractivos.
  • Las plataformas de integración modernas (agentes de chat de IA, conectores CRM) aumentan el radio de explosión cuando las credenciales se reutilizan o almacenan de forma insegura.
  • Los proveedores de seguridad -incluidos Microsoft, Cisco, Fortinet, CrowdStrike, Symantec, y Kaspersky-debe armonizar la gobernanza de la integración en todos los equipos de producto.
Categoría de proveedor Riesgo primario Control sugerido
Redes y cortafuegos (Cisco, Fortinet) Exposición de la configuración, información sobre la licencia Gestión centralizada de la configuración, limitación de la tasa de API
Endpoint & Threat Intel (CrowdStrike, Symantec) Mapa de activos del cliente Rotación de fichas, redacción de campos
Plataforma e identidad (Microsoft) Abuso de OAuth, riesgos de SSO Políticas de tokens efímeros, revocación continua

Una respuesta sistémica requiere prácticas entre proveedores. Algunos ejemplos son las taxonomías estandarizadas de incidentes, los esquemas de registro interoperables y las fuentes compartidas de información sobre amenazas. El panorama de 2025 muestra una creciente coordinación a través de grupos industriales; sin embargo, sigue habiendo lagunas en torno a la gestión del ciclo de vida de los tokens y las auditorías de integración de terceros.

Las medidas concretas adoptadas en algunos sectores tras sucesos anteriores en la cadena de suministro ilustran posibles caminos a seguir:

  1. Certificación obligatoria de la seguridad de la integración para los proveedores que manejan datos de CRM.
  2. Auditorías periódicas de terceros centradas en la gestión de secretos y el uso de tokens.
  3. Implantación de normas de registro federadas para simplificar la correlación entre proveedores.

Para más información sobre la dinámica de las amenazas a la cadena de suministro y el contexto histórico, se pueden consultar retrospectivas técnicas y análisis sectoriales que trazan la evolución de estos vectores de ataque y patrones de defensa. Estas referencias ayudan a los equipos a modelar el comportamiento probable de los atacantes y a prepararse adecuadamente. Consulte las publicaciones del sector y el material técnico más profundo para conocer el contexto y las reformas de gobernanza recomendadas.

Información clave: El ecosistema de proveedores debe adoptar normas compartidas de higiene de tokens y manuales de incidentes entre proveedores para reducir el riesgo sistémico de la cadena de suministro.

Mitigación técnica y recomendaciones estratégicas: Higiene de tokens, confianza cero y refuerzo de plataformas

Unos controles técnicos eficaces transforman la contención reactiva en una reducción proactiva del riesgo. Las siguientes recomendaciones combinan victorias rápidas con cambios de arquitectura a largo plazo destinados a prevenir el uso indebido de tokens y limitar el alcance de futuros incidentes en la cadena de suministro.

  • Los tokens de corta duración y los programas de rotación automatizada reducen la ventana de exposición de las credenciales comprometidas.
  • El privilegio mínimo para los ámbitos de integración garantiza que los conectores sólo puedan leer o escribir lo necesario.
  • El cifrado y la redacción a nivel de campo de los registros de CRM protegen los atributos más sensibles del acceso posterior.
Control Complejidad de la aplicación Impacto
Rotación automática de fichas Medio Alta (reduce la vida útil de los tokens)
Permisos OAuth Bajo Alto (limita el radio de explosión)
RBAC + Redacción de campos Alto Alta (protege los campos sensibles)

Prácticas adicionales recomendadas:

  1. Realice un inventario de cada integración y asigne la propiedad; trate cada conector como un activo gestionado de forma independiente.
  2. Exigir reautorizaciones periódicas y comprobaciones de vida útil para las integraciones persistentes.
  3. Instrumentar la detección de anomalías en la actividad de integración, como volúmenes de consulta inusuales o patrones de acceso a registros atípicos.

Los equipos también deben consultar la inteligencia operativa y los recursos de investigación para mantenerse al día sobre las TTP de los atacantes. Los artículos técnicos y las plataformas de vigilancia continua proporcionan señales sobre la evolución de las amenazas. Para obtener recursos prácticos, consulte las revisiones técnicas y los análisis sectoriales disponibles en fuentes acreditadas para integrar estos controles en los ciclos de sprint o las hojas de ruta. Por ejemplo, los materiales sobre gestión de tokens, inteligencia artificial en seguridad y amenazas a la integración proporcionan orientación pragmática y ejemplos a nivel de código.

Recursos seleccionados para consulta y aprendizaje inmediatos:

Una última anécdota operativa: después de rotar todos los tokens de integración y habilitar las credenciales de corta duración, VectorRetail observó una reducción de 70% en las lecturas CRM anómalas durante los 30 días siguientes. Este resultado demuestra que el endurecimiento técnico, combinado con la supervisión, produce una reducción mensurable del riesgo.

Información clave: Los controles tácticos, como la rotación de tokens y los permisos OAuth de ámbito limitado, proporcionan un valor de protección inmediato, mientras que las medidas arquitectónicas, como la redacción a nivel de campo y los patrones de integración de confianza cero, ofrecen una resistencia duradera.