Compromiso masivo de datos a través de tokens OAuth robados en Salesloft Drift: análisis del ataque atribuido a UNC6395

—
### 1. Introducción

En las últimas semanas, la comunidad de ciberseguridad ha detectado una campaña de robo de datos a gran escala dirigida a organizaciones que utilizan aplicaciones de terceros para la gestión y automatización de ventas. El grupo de amenazas persistentes avanzadas (APT) conocido como UNC6395 ha sido vinculado a una serie de incidentes en los que se explotaron tokens OAuth comprometidos, obtenidos desde la plataforma Salesloft Drift. El vector de ataque y los métodos utilizados han puesto en alerta a analistas SOC, CISOs y responsables de cumplimiento de normativas como GDPR y NIS2, dada la criticidad de la información sustraída y la facilidad con la que se ha propagado el ataque.

—
### 2. Contexto del Incidente o Vulnerabilidad

Salesloft Drift es una solución SaaS ampliamente adoptada en entornos empresariales para la optimización del ciclo de ventas y la interacción con clientes, integrándose con múltiples sistemas mediante APIs y autenticación federada. El incidente salió a la luz tras la detección de tráfico anómalo desde instancias legítimas hacia servidores bajo el control de UNC6395. Según los informes, el grupo logró comprometer tokens de acceso OAuth expedidos a través de flujos de autorización estándar, utilizando credenciales robadas o interceptando sesiones mediante técnicas de man-in-the-middle (MitM) y phishing dirigido.

Las primeras señales del incidente surgieron a finales de mayo de 2024, cuando varios clientes reportaron accesos no autorizados y exfiltración de datos sensibles desde sus cuentas en Salesloft Drift. Pronto, los análisis forenses confirmaron que los tokens OAuth comprometidos permitían a los atacantes el acceso persistente a recursos y datos de alto valor, eludiendo controles tradicionales de autenticación multifactor (MFA) y monitorización de sesiones.

—
### 3. Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

Hasta la fecha, no se ha asignado un CVE específico al incidente, dado que el vector de ataque principal reside en la explotación de la gestión de tokens OAuth y no en una vulnerabilidad de código concreto en Salesloft Drift. El ataque se alinea con las técnicas descritas en MITRE ATT&CK bajo los identificadores:
– **T1550.001 (Use Alternate Authentication Material: Pass the Token)**
– **T1078 (Valid Accounts)**
– **T1110 (Brute Force)**, en casos donde se emplearon ataques de fuerza bruta para obtener credenciales iniciales.

El grupo UNC6395 empleó técnicas de spear-phishing para engañar a usuarios con privilegios elevados, redirigiéndolos a sitios clonados donde introducían sus credenciales. Posteriormente, los atacantes capturaban el flujo OAuth, interceptando los tokens de acceso y refresh. Una vez en posesión de estos, podían realizar peticiones API legítimas, acceder a registros de clientes, historiales de comunicación y datos financieros almacenados en la nube.

Entre los IoCs identificados destacan:
– Dominios maliciosos utilizados para el phishing, con nombres similares a los de Salesloft Drift.
– IPs asociadas a infraestructura de comando y control (C2) en Europa del Este.
– Firmas de tráfico anómalo en logs de acceso API, con peticiones repetidas desde rangos IP fuera de la localización habitual de los usuarios.

Se ha documentado el uso de herramientas automatizadas para la exfiltración, y se sospecha la integración de frameworks como Metasploit para el establecimiento de persistencia y escalada de privilegios.

—
### 4. Impacto y Riesgos

El compromiso de tokens OAuth representa una amenaza significativa, ya que permite a los actores maliciosos eludir mecanismos de autenticación robustos y obtener acceso directo a datos críticos. El incidente ha afectado al menos a un 12% de las organizaciones que utilizan Salesloft Drift, lo que se traduce en miles de cuentas expuestas y potencial fuga de información confidencial.

El coste económico asociado se estima en varios millones de euros, considerando tanto el daño reputacional como los posibles litigios y sanciones regulatorias bajo GDPR y la inminente NIS2. Además, la capacidad de los atacantes para moverse lateralmente y acceder a otros sistemas integrados eleva el riesgo de escalada de privilegios y movimientos laterales dentro de la red corporativa.

—
### 5. Medidas de Mitigación y Recomendaciones

Las principales recomendaciones para mitigar el riesgo incluyen:
– **Revocación inmediata de todos los tokens OAuth activos** y reemisión con políticas de expiración más restrictivas.
– **Monitorización continua de logs de acceso y uso de API** para identificar patrones anómalos.
– **Implementar autenticación condicional** basada en contexto y ubicación.
– **Concienciación y formación específica para usuarios privilegiados** sobre riesgos de phishing focalizado.
– **Revisión de integraciones de terceros** y limitación de permisos concedidos a aplicaciones externas.
– **Despliegue de soluciones de detección de anomalías** en tráfico API.

—
### 6. Opinión de Expertos

Especialistas como Ana Beltrán, CISO de una entidad financiera europea, advierten: “La confianza ciega en integraciones SaaS y la delegación de autenticación a través de OAuth plantea retos de seguridad que las empresas aún subestiman. Este incidente demuestra la necesidad de una vigilancia continua y de controles granulares sobre las aplicaciones conectadas”.

Por su parte, analistas de Threat Intelligence subrayan que UNC6395 ha evolucionado sus TTPs, enfocándose en la explotación de flujos de autenticación modernos y evadiendo herramientas tradicionales de defensa perimetral.

—
### 7. Implicaciones para Empresas y Usuarios

El ataque pone de relieve la importancia de revisar regularmente la cadena de confianza en aplicaciones SaaS y los riesgos asociados a la delegación de privilegios mediante OAuth. Las empresas deben realizar auditorías periódicas de integraciones, reforzar la seguridad de los endpoints y evaluar el cumplimiento normativo, especialmente bajo GDPR y NIS2, para evitar sanciones derivadas de brechas de datos.

Para los usuarios, es fundamental desconfiar de enlaces sospechosos y reportar cualquier actividad inusual en aplicaciones empresariales.

—
### 8. Conclusiones

El incidente atribuido a UNC6395 marca un hito en la explotación de flujos OAuth y resalta la fragilidad de los ecosistemas de aplicaciones interconectadas. Las organizaciones deben adoptar un enfoque proactivo, reforzando controles internos y colaborando con proveedores para cerrar brechas de seguridad y proteger los datos críticos frente a actores cada vez más sofisticados.

(Fuente: www.darkreading.com)