Compromiso de cuenta GitHub en Salesloft desencadena brecha de cadena de suministro que afecta a 22 empresas

Introducción

En un nuevo episodio que pone de manifiesto la criticidad de la seguridad en la cadena de suministro de software, Salesloft ha confirmado que el reciente incidente de seguridad vinculado a su aplicación Drift se originó tras el compromiso de su cuenta de GitHub. La investigación, liderada por Mandiant (propiedad de Google), ha sacado a la luz una campaña de intrusión sostenida, atribuida a un actor de amenazas identificado como UNC6395, que operó durante varios meses y logró afectar, hasta la fecha, a al menos 22 empresas. Este incidente resalta la importancia de la gestión segura de los repositorios de código y la vigilancia sobre accesos no autorizados en entornos de desarrollo colaborativo.

Contexto del Incidente

El incidente salió a la luz a raíz de actividades sospechosas detectadas en la aplicación Drift, utilizada por numerosas empresas para la automatización de ventas. Las primeras investigaciones apuntaron a una posible filtración de credenciales o tokens de acceso, pero la confirmación por parte de Salesloft de que el vector inicial fue el acceso ilícito a su cuenta de GitHub ha elevado la preocupación en la comunidad de ciberseguridad, especialmente ante la tendencia creciente de ataques a la cadena de suministro de software (supply chain attacks).

El actor de amenazas, UNC6395, logró acceder al repositorio GitHub de Salesloft entre marzo y junio de 2025. Durante este periodo, el atacante tuvo la capacidad de visualizar, modificar o extraer código fuente y secretos asociados, lo que permitió la posterior explotación de la infraestructura de Salesloft y la propagación del ataque a clientes conectados a Drift.

Detalles Técnicos

Según el informe de Mandiant, UNC6395 empleó técnicas avanzadas de persistencia y movimiento lateral una vez dentro del entorno de GitHub. Se han identificado los siguientes TTPs (tactics, techniques, and procedures), alineados con el framework MITRE ATT&CK:

– **Initial Access (TA0001):** Compromiso de credenciales de cuenta GitHub mediante técnicas aún no reveladas, aunque se sospecha de phishing dirigido o reutilización de contraseñas.
– **Persistence (TA0003):** Creación de nuevos tokens de acceso personal y manipulación de webhooks para garantizar acceso continuado y exfiltración de información sensible.
– **Credential Access (TA0006):** Extracción de secretos y tokens API embebidos en el código fuente y archivos de configuración.
– **Lateral Movement (TA0008):** Utilización de credenciales obtenidas para pivotar hacia entornos de integración y despliegue continuo (CI/CD), comprometiendo pipelines y desplegando payloads maliciosos en aplicaciones de terceros.

El principal vector de ataque identificado ha sido la explotación de credenciales almacenadas en repositorios y la manipulación de scripts de despliegue. No se ha confirmado el uso de exploits públicos, pero sí la presencia de herramientas de post-explotación como Cobalt Strike y scripts personalizados para la automatización de tareas de reconocimiento y exfiltración.

Además, se han publicado varios IoC (indicadores de compromiso), incluyendo hashes de archivos modificados, direcciones IP de origen de conexiones sospechosas y patrones de comportamiento en logs de acceso a GitHub.

Impacto y Riesgos

El alcance del incidente afecta a, al menos, 22 empresas confirmadas que integran la aplicación Drift de Salesloft en sus procesos. Entre los riesgos detectados se incluyen:

– **Filtración de información sensible y propiedad intelectual** de los clientes de Drift.
– **Riesgo de ataques en cadena** mediante la implantación de código malicioso en actualizaciones de software distribuidas a los clientes.
– **Compromiso de credenciales y secretos** de infraestructuras asociadas.
– **Potencial impacto económico** derivado de la interrupción de servicios y la posible imposición de sanciones regulatorias bajo GDPR y la directiva NIS2.
– **Pérdida de confianza** en la integridad de la cadena de suministro de software.

Según estimaciones iniciales, el coste potencial de remediación y respuesta asciende a varios millones de euros, sin contar los daños reputacionales y legales.

Medidas de Mitigación y Recomendaciones

Para los equipos técnicos y responsables de seguridad, se recomienda:

1. **Rotación inmediata de credenciales y tokens** asociados a integraciones con Salesloft y Drift.
2. **Auditoría exhaustiva de logs de acceso a repositorios GitHub** y entornos CI/CD, buscando patrones anómalos e IoC publicados.
3. **Implementación de autenticación multifactor (MFA)** en todos los accesos a repositorios de código.
4. **Revisión y purga de secretos del código fuente**; emplear herramientas de escaneo de secretos (como TruffleHog o GitGuardian).
5. **Segmentación y limitación de permisos** en integraciones y pipelines de despliegue.
6. **Simulacros de respuesta a incidentes** específicos sobre ataques a la cadena de suministro.

Opinión de Expertos

Varios expertos consultados subrayan que este tipo de incidentes son cada vez más frecuentes y sofisticados, afectando tanto a grandes organizaciones como a proveedores de nicho. “El ataque a Salesloft demuestra que los repositorios de código se han convertido en un objetivo prioritario para los actores de amenazas, especialmente por el elevado valor de los secretos y la posibilidad de afectar a múltiples objetivos a través de un solo compromiso”, señala Álvaro Núñez, analista de amenazas en una multinacional del sector financiero.

Implicaciones para Empresas y Usuarios

Las empresas deben reforzar su estrategia de seguridad en la cadena de suministro, evaluando y auditando regularmente a sus proveedores de software. Para los usuarios finales, es fundamental mantener actualizadas las aplicaciones y estar atentos a posibles notificaciones de seguridad por parte de Salesloft y sus partners. El incidente también refuerza la necesidad de cumplir con los requisitos regulatorios de protección de datos y notificación de brechas, bajo GDPR y NIS2.

Conclusiones

El caso de Salesloft y su aplicación Drift evidencia la importancia de una gestión rigurosa de los accesos a repositorios de código y la necesidad de implementar controles robustos en la cadena de suministro de software. La sofisticación de los actores y la criticidad de los entornos comprometidos exigen una vigilancia constante y una respuesta coordinada entre proveedores y clientes. El sector debe prepararse para un entorno donde los ataques a la cadena de suministro serán cada vez más frecuentes y disruptivos.

(Fuente: feeds.feedburner.com)