Alerta del FBI: Grupos UNC6040 y UNC6395 apuntan a Salesforce con técnicas avanzadas de exfiltración

Introducción

El panorama de amenazas contra entornos SaaS continúa intensificándose, con plataformas líderes como Salesforce en el punto de mira de grupos cibercriminales cada vez más sofisticados. Recientemente, el FBI ha emitido una alerta crítica dirigida a profesionales de la ciberseguridad, notificando sobre la actividad de los grupos UNC6040 y UNC6395, responsables de ataques coordinados de robo de datos y extorsión. Esta comunicación oficial incluye indicadores de compromiso (IoCs) y detalles técnicos relevantes que permiten a los equipos de seguridad reforzar sus estrategias de defensa ante este nuevo vector de amenaza.

Contexto del Incidente

La alerta del FBI surge tras una serie de incidentes investigados entre finales de 2023 y principios de 2024, en los que múltiples organizaciones estadounidenses, incluidas empresas del sector financiero, salud y tecnología, sufrieron accesos no autorizados a sus instancias de Salesforce. Los grupos UNC6040 y UNC6395, ambos con historial de operaciones cibercriminales orientadas a la monetización por medio de extorsión, han desplegado diferentes técnicas para comprometer credenciales y manipular configuraciones de seguridad en la nube.

UNC6395, en concreto, es conocido por explotar debilidades en la gestión de identidades y el acceso (IAM), mientras que UNC6040 se ha especializado en el uso de phishing dirigido y explotación de APIs no securizadas para lograr la exfiltración masiva de datos sensibles.

Detalles Técnicos

Las campañas detectadas emplean una combinación de tácticas, técnicas y procedimientos (TTPs) alineados con el framework MITRE ATT&CK. Entre los principales vectores de ataque destacan:

– Explotación de credenciales comprometidas (T1078 – Valid Accounts): Uso de credenciales obtenidas en fugas previas o mediante campañas de phishing.
– Manipulación de sesiones OAuth y tokens de acceso: Aprovechan sesiones persistentes o mal configuradas para escalar privilegios.
– Abuso de APIs Salesforce (T1190 – Exploit Public-Facing Application): Acceso no autorizado a través de endpoints expuestos y APIs mal configuradas.
– Exfiltración de datos mediante automatización: Uso de scripts y herramientas personalizadas para descargar grandes volúmenes de información (T1020 – Automated Exfiltration).
– Empleo de malware y frameworks: Aunque no se han detectado cargas útiles tradicionales (como ransomware), se han observado scripts PowerShell y Python orientados a la extracción silenciosa de datos. En algunos casos, los atacantes han utilizado plataformas como Metasploit para pruebas iniciales de acceso.

Indicadores de compromiso (IoCs) publicados incluyen direcciones IP sospechosas, patrones de autenticación anómalos, logs de actividad en Salesforce y firmas de scripts empleados para la exfiltración.

Impacto y Riesgos

La exposición de datos críticos en Salesforce, que suele contener información sensible de clientes, contratos y operaciones internas, representa un grave riesgo tanto para la privacidad como para la continuidad de negocio. Según estimaciones del sector, el 62% de las grandes empresas estadounidenses utiliza Salesforce como CRM principal, lo que amplifica el alcance potencial de estos incidentes.

En los casos analizados, los atacantes no solo sustrajeron datos, sino que posteriormente extorsionaron a las víctimas amenazando con la publicación o venta de la información robada en foros clandestinos. Las pérdidas económicas asociadas a este tipo de incidentes pueden superar los 2 millones de dólares por organización, considerando tanto el rescate exigido como los costes de investigación y remediación, sin contar sanciones regulatorias bajo normativas como GDPR o NIS2.

Medidas de Mitigación y Recomendaciones

El FBI y los principales expertos en ciberseguridad recomiendan las siguientes acciones prioritarias:

– Revisión exhaustiva de registros de acceso y actividad en Salesforce, con especial atención a inicios de sesión desde ubicaciones inusuales o dispositivos no autorizados.
– Implementación obligatoria de autenticación multifactor (MFA) para todos los usuarios, incluyendo integraciones y aplicaciones de terceros.
– Fortalecimiento de políticas IAM y revisión periódica de permisos y roles asignados.
– Monitorización continua de logs de API y alertas ante peticiones masivas o inusuales de descarga de datos.
– Aplicación de controles DLP (Data Loss Prevention) específicos para plataformas SaaS.
– Actualización y aplicación de parches de seguridad tanto en Salesforce como en las integraciones conectadas.

Opinión de Expertos

Según Marta González, CISO de una multinacional tecnológica: “La sofisticación de estos grupos evidencia que ya no hablamos solo de amenazas a infraestructuras tradicionales, sino de un riesgo creciente sobre los entornos SaaS, que suelen ser infra-protegidos. La gestión proactiva de identidades, junto con una auditoría continua de logs y APIs, es esencial para contener este tipo de ataques”.

Implicaciones para Empresas y Usuarios

El incidente resalta la importancia de redefinir la seguridad en el perímetro SaaS. Empresas de todos los tamaños deben considerar la protección de plataformas en la nube como parte de su core de seguridad, adoptando estrategias Zero Trust y priorizando la visibilidad sobre el uso y acceso a los datos. Para los usuarios, la concienciación sobre phishing y buenas prácticas de autenticación resultan determinantes para evitar compromisos iniciales.

Conclusiones

La alerta del FBI sobre UNC6040 y UNC6395 marca un punto de inflexión en la protección de plataformas SaaS críticas, como Salesforce. La publicación de IoCs y TTPs detallados es una herramienta clave para los equipos de respuesta, pero la proactividad en las políticas de seguridad y la formación siguen siendo las mejores defensas ante un escenario de amenazas en rápida evolución.

(Fuente: feeds.feedburner.com)