AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

**El alcance de la brecha en Salesloft y Drift se amplía: atacantes comprometen cuentas de Google Workspace mediante tokens OAuth robados**

admin

### 1. Introducción

En un nuevo giro preocupante sobre la brecha de seguridad reportada en las plataformas Salesloft y Drift, Google ha confirmado que el alcance del incidente es significativamente mayor de lo que se estimó inicialmente. Más allá del acceso a datos alojados en Salesforce, los actores de amenaza han explotado tokens OAuth robados para comprometer cuentas de Google Workspace, exponiendo correos electrónicos corporativos y potencialmente otros recursos críticos. Este incidente subraya la creciente sofisticación de los ataques dirigidos a cadenas de suministro SaaS y la importancia de reforzar los controles de identidad y acceso en entornos empresariales.

### 2. Contexto del Incidente o Vulnerabilidad

El incidente salió a la luz tras la detección de accesos no autorizados a datos de clientes de Salesloft y Drift, dos plataformas SaaS ampliamente empleadas para la gestión de relaciones comerciales y automatización de ventas. Originalmente, la preocupación principal giraba en torno a la posible exfiltración de información almacenada en Salesforce, dado que ambas plataformas integran de forma nativa con este CRM.

Sin embargo, investigaciones posteriores lideradas por Google Threat Analysis Group (TAG) y equipos forenses independientes revelaron que la brecha permitió a los atacantes obtener y reutilizar tokens OAuth válidos, concediendo acceso directo a servicios conectados, entre ellos, cuentas de Google Workspace de organizaciones afectadas.

### 3. Detalles Técnicos

#### Identificadores y Versiones Afectadas

– **Plataformas implicadas:** Salesloft (todas las versiones SaaS a fecha de la brecha), Drift (versiones cloud), integraciones con Salesforce y Google Workspace.
– **Tokens comprometidos:** OAuth 2.0; sin evidencia de filtración de credenciales tradicionales.
– **CVE asignado:** Hasta el momento, no se ha publicado un CVE específico para la vulnerabilidad explotada, al tratarse más de una mala gestión de tokens y de autorizaciones de terceros.
– **Frameworks y herramientas potencialmente usados:** No hay evidencia pública de exploits automatizados, aunque la explotación podría haberse facilitado mediante scripts personalizados y herramientas como Postman para la manipulación de flujos OAuth.

#### Tácticas, Técnicas y Procedimientos (TTP) – MITRE ATT&CK

– **Técnica inicial:** Validación y reutilización de tokens OAuth robados (T1550.001 – Rogue Authentication).
– **Movimiento lateral:** Utilización de privilegios otorgados por los tokens para acceder a recursos adicionales (T1552.004 – Unsecured Credentials: OAuth Tokens).
– **Exfiltración:** Descarga de correos electrónicos y datos adjuntos desde Google Workspace (T1114 – Email Collection).
– **Persistencia:** Posible mantenimiento de acceso mediante autorización de apps de terceros.

#### Indicadores de Compromiso (IoC)

– Uso de tokens OAuth asociados a integraciones de Salesloft y Drift fuera de rangos de IP corporativos.
– Creación de sesiones inusuales en Google Workspace, con User-Agent de aplicaciones automatizadas.
– Acceso masivo a mensajes de correo en cortos periodos de tiempo.

### 4. Impacto y Riesgos

El compromiso de tokens OAuth representa un riesgo crítico, ya que otorga a los atacantes acceso directo a servicios SaaS sin necesidad de contraseñas o MFA, eludiendo controles convencionales. El impacto incluye:

– **Exposición de datos confidenciales:** Correos electrónicos, archivos adjuntos y metadatos almacenados en Google Workspace.
– **Riesgo de BEC (Business Email Compromise):** Posible suplantación de identidad y ataques de phishing internos.
– **Riesgo para la cadena de suministro:** Los atacantes pueden moverse lateralmente a otros servicios integrados.
– **Cumplimiento normativo:** Potencial violación de GDPR y NIS2, con exposición a multas y obligaciones de notificación.

Según estimaciones preliminares, el porcentaje de organizaciones afectadas podría superar el 10% de la base de clientes de Salesloft y Drift, con pérdidas económicas potenciales en torno a los 10 millones de dólares por compromiso de datos y costes de remediación.

### 5. Medidas de Mitigación y Recomendaciones

– **Revocación inmediata de tokens OAuth afectados:** Utilizar la consola de administración de Google Workspace y Salesforce para invalidar autorizaciones de apps de terceros.
– **Auditoría de integraciones:** Revisar todas las aplicaciones con permisos OAuth sobre cuentas críticas.
– **Implementación de OAuth con scopes mínimos:** Restringir los permisos concedidos a aplicaciones externas.
– **Monitorización de actividad sospechosa:** Configurar alertas ante accesos inusuales a Google Workspace y Salesforce.
– **Reforzamiento de políticas Zero Trust:** Limitar el acceso por contexto y exigir MFA incluso para flujos OAuth.
– **Notificación y cumplimiento:** Informar a las autoridades conforme a GDPR y NIS2 en caso de exposición de datos personales.

### 6. Opinión de Expertos

Investigadores de Google TAG advierten que este incidente ejemplifica la vulnerabilidad inherente de los ecosistemas SaaS hiperconectados y la necesidad de monitorización continua sobre integraciones OAuth. “La confianza excesiva en tokens y la falta de segmentación entre aplicaciones permiten a los atacantes escalar privilegios de forma silenciosa”, señalan desde la compañía.

Por su parte, expertos de la Cloud Security Alliance recomiendan a las organizaciones adoptar herramientas de gestión de identidades (IAM) específicas para SaaS y realizar revisiones periódicas de las autorizaciones activas.

### 7. Implicaciones para Empresas y Usuarios

Las empresas deben ser conscientes de que la gestión de identidades y accesos en entornos SaaS es tan crítica como la protección de endpoints tradicionales. Este incidente demuestra que la seguridad de la cadena de suministro digital depende no solo de la robustez interna, sino también de la postura de seguridad de proveedores y partners. Para los usuarios, la principal recomendación es evitar conceder permisos excesivos a aplicaciones de terceros y reportar cualquier actividad sospechosa en sus cuentas corporativas.

### 8. Conclusiones

La brecha de Salesloft y Drift pone de manifiesto la urgencia de revisar y reforzar los controles de seguridad sobre integraciones OAuth y aplicaciones SaaS. El acceso no autorizado a Google Workspace demuestra que los atacantes buscan vectores menos evidentes, priorizando la explotación de identidades y tokens sobre vulnerabilidades técnicas clásicas. Una estrategia integral de Zero Trust, combinada con monitorización avanzada y cumplimiento normativo estricto, se posiciona como la mejor defensa frente a este tipo de amenazas emergentes.

(Fuente: www.bleepingcomputer.com)