AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**El FBI alerta sobre ataques coordinados a Salesforce: UNC6040 y UNC6395 comprometen entornos empresariales**

admin

### Introducción

El Buró Federal de Investigaciones (FBI) ha emitido recientemente una alerta FLASH dirigida a la comunidad de ciberseguridad, advirtiendo sobre campañas activas llevadas a cabo por dos clústeres de amenazas avanzadas, identificados como UNC6040 y UNC6395. Estas agrupaciones están comprometiendo entornos Salesforce en organizaciones de diferentes sectores, con el objetivo de exfiltrar datos sensibles y extorsionar económicamente a las víctimas. Este incidente supone un desafío significativo para los equipos de respuesta a incidentes, responsables de mitigar riesgos en plataformas críticas de gestión de relaciones con clientes (CRM).

### Contexto del Incidente

En los últimos meses, Salesforce se ha consolidado como una de las plataformas SaaS más extendidas en el ámbito empresarial, gestionando información confidencial de clientes, ventas y operaciones. Los actores UNC6040 y UNC6395 han centrado sus campañas en explotar configuraciones erróneas y credenciales comprometidas, accediendo de forma no autorizada a instancias de Salesforce. Una vez dentro, los atacantes extraen grandes cantidades de datos, en algunos casos cifrándolos o amenazando con su publicación para forzar el pago de rescates.

La alerta del FBI surge tras la detección de un patrón de actividad maliciosa que afecta a organizaciones norteamericanas y europeas, con especial incidencia en sectores financiero, sanitario y servicios profesionales.

### Detalles Técnicos

Los grupos UNC6040 y UNC6395 han sido vinculados a tácticas, técnicas y procedimientos (TTP) sofisticados, alineados con el marco MITRE ATT&CK, especialmente en las fases Initial Access (TA0001), Credential Access (TA0006) y Exfiltration (TA0010). Entre los indicadores de compromiso (IoC) destacan:

– **Explotación de credenciales filtradas**: Uso de credenciales obtenidas en brechas previas o a través de ataques de phishing dirigidos.
– **Aprovechamiento de configuraciones inseguras**: Acceso a instancias de Salesforce configuradas con políticas de acceso permisivas o sin autenticación multifactor (MFA).
– **Automatización mediante scripts y APIs**: Utilización de herramientas personalizadas y frameworks como Metasploit para automatizar la extracción de datos a través de las APIs de Salesforce.
– **Persistencia y movimiento lateral**: Implementación de tokens OAuth maliciosos o manipulación de permisos para mantener el acceso y escalar privilegios.

Se han identificado campañas que emplean exploits específicos para versiones de Salesforce con integraciones de terceros vulnerables o plugins no actualizados. Aunque Salesforce como plataforma no presenta una vulnerabilidad crítica generalizada (sin CVE específico reportado a la fecha), la explotación se basa en malas prácticas de seguridad y configuraciones por defecto.

### Impacto y Riesgos

La afectación estimada alcanza a organizaciones de todos los tamaños, con un impacto potencial en millones de registros de clientes. Según datos de la alerta, hasta un 7% de las instancias corporativas de Salesforce podrían estar expuestas a ataques similares por no aplicar políticas robustas de gestión de acceso y supervisión.

El impacto abarca:

– **Pérdida de datos sensibles**: Información de clientes, contratos, procesos internos y propiedad intelectual.
– **Extorsión y ransomware**: Amenazas de publicación de datos o cifrado, con demandas de rescate que oscilan entre 50.000 y 1 millón de dólares.
– **Daños reputacionales**: Pérdida de confianza de clientes y socios comerciales.
– **Sanciones regulatorias**: Riesgo de multas bajo GDPR, NIS2 o legislación local sobre protección de datos.

### Medidas de Mitigación y Recomendaciones

El FBI y los principales CERT recomiendan implementar las siguientes acciones:

1. **Revisión de configuraciones**: Analizar y endurecer las configuraciones de acceso a Salesforce, deshabilitando el acceso innecesario y aplicando el principio de mínimo privilegio.
2. **Activación obligatoria de MFA**: Obligar al uso de autenticación multifactor para todos los usuarios, especialmente administradores.
3. **Monitorización de logs y anomalías**: Configurar alertas ante accesos inusuales, descargas masivas o creación de tokens/aplicaciones sospechosas.
4. **Gestión de credenciales**: Rotación periódica de contraseñas y revocación de credenciales comprometidas.
5. **Formación y concienciación**: Instruir a usuarios en la detección de ataques de phishing y buenas prácticas de seguridad.

Salesforce ofrece recursos específicos para el endurecimiento de su plataforma, incluyendo guías de hardening y herramientas de auditoría de seguridad.

### Opinión de Expertos

Expertos del sector, como Miguel Ángel de Castro, CISO de una multinacional tecnológica, alertan: “La seguridad en entornos SaaS depende en gran medida de la configuración y la gestión de credenciales. Los ataques a Salesforce evidencian la urgencia de revisar los controles de acceso y la monitorización continua, especialmente en plataformas críticas para el negocio”.

Desde el SANS Institute, recomiendan incorporar controles Zero Trust y segmentación de roles, así como la integración de soluciones SIEM capaces de correlacionar eventos en entornos cloud.

### Implicaciones para Empresas y Usuarios

Este incidente demuestra la necesidad de trasladar los controles tradicionales de ciberseguridad al entorno SaaS. Las empresas deben revisar sus acuerdos de responsabilidad compartida y garantizar que las medidas de protección no se delegan exclusivamente al proveedor. Para los usuarios finales, aumenta la importancia de la formación en ciberseguridad y la responsabilidad individual en la protección de credenciales.

Para las compañías sujetas a GDPR y NIS2, una brecha en Salesforce puede implicar la notificación obligatoria ante autoridades y clientes, así como la exposición a sanciones económicas elevadas.

### Conclusiones

La alerta del FBI sobre los ataques de UNC6040 y UNC6395 pone de manifiesto una tendencia creciente: la explotación de plataformas SaaS como vector principal de ataques dirigidos. El refuerzo de configuraciones, la autenticación avanzada y la monitorización proactiva son esenciales para mitigar el riesgo. Los equipos de seguridad deben adaptar sus estrategias a la realidad del cloud, priorizando la protección de los datos corporativos y la respuesta ante incidentes en entornos SaaS críticos.

(Fuente: www.bleepingcomputer.com)