**Actores UNC6040 y UNC6395 intensifican ataques contra clientes de Salesforce: alerta del FBI**
—
### Introducción
El panorama de amenazas dirigido a plataformas SaaS ha experimentado un preocupante incremento en los últimos meses, con especial énfasis en ataques sofisticados contra Salesforce, uno de los CRMs más extendidos a nivel global. El FBI, a través de su Internet Crime Complaint Center (IC3), acaba de emitir una alerta dirigida a CISOs y responsables de seguridad tras identificar campañas coordinadas por los grupos de amenazas UNC6040 y UNC6395, quienes han logrado comprometer organizaciones mediante técnicas avanzadas y persistentes.
—
### Contexto del Incidente o Vulnerabilidad
Salesforce, al estar implantado en más del 23% de las grandes empresas europeas y norteamericanas, se ha convertido en un objetivo predilecto para actores maliciosos. Según el IC3, tanto UNC6040 como UNC6395 han intensificado sus campañas desde principios de 2024, dirigiéndose a clientes de Salesforce de manera independiente y, en ocasiones, colaborando para maximizar el impacto de sus acciones.
Ambos grupos han sido identificados previamente por su destreza en ataques de ingeniería social y explotación de credenciales, pero la reciente colaboración ha elevado el nivel de sofisticación de los ataques, permitiendo comprometer entornos SaaS a gran escala y exfiltrar información sensible.
—
### Detalles Técnicos
#### CVE y Vectores de Ataque
Aunque no se ha publicado un CVE específico para una vulnerabilidad zero-day en Salesforce, la alerta del FBI señala que los actores están explotando configuraciones débiles de autenticación y autorización en implementaciones de Salesforce. Se observa un uso recurrente de técnicas como:
– **Phishing dirigido (Spear phishing):** Para recolectar credenciales de acceso SaaS.
– **Token hijacking:** Robo de tokens de sesión válidos mediante ataques de intermediario (Man-in-the-Middle) o malware.
– **Abuso de OAuth:** Solicitud de permisos excesivos a través de aplicaciones de terceros, permitiendo acceso persistente a datos.
#### Tácticas, Técnicas y Procedimientos (TTP) MITRE ATT&CK
– **T1566.001** – Phishing: Envío de correos personalizados para obtener accesos iniciales.
– **T1078** – Obtención de credenciales válidas: Uso de credenciales filtradas en breaches previos.
– **T1550.001** – Uso de tokens de acceso robados.
– **T1098** – Creación de cuentas o backdoors OAuth para mantener persistencia.
#### Indicadores de Compromiso (IoC)
– IPs asociadas a infraestructuras de Cobalt Strike y Metasploit Framework.
– Dominios de phishing emulando portales de acceso de Salesforce.
– Actividad anómala en logs de autenticación y creación de nuevas aplicaciones OAuth no autorizadas.
—
### Impacto y Riesgos
El impacto de estas campañas es significativo. Según datos de la plataforma BreachLevelIndex, se estima que cerca de un 12% de las organizaciones con Salesforce han experimentado intentos de acceso no autorizado en el primer semestre de 2024, con pérdidas económicas superiores a los 90 millones de euros por robo de datos y extorsión.
Las consecuencias para las organizaciones incluyen:
– Exfiltración de información sensible de clientes y empleados.
– Acceso a datos financieros y estratégicos.
– Riesgo de incumplimiento de normativas como GDPR y NIS2, con multas que pueden alcanzar hasta el 4% del volumen de negocio global.
—
### Medidas de Mitigación y Recomendaciones
El FBI y expertos en ciberseguridad recomiendan adoptar las siguientes medidas inmediatas:
– **Revisión y endurecimiento de políticas de autenticación:** Activar MFA obligatorio para todos los usuarios y aplicaciones integradas.
– **Monitorización activa de logs:** Implementar alertas ante accesos inusuales, creación de nuevas aplicaciones OAuth y cambios en permisos.
– **Auditoría de integraciones de terceros:** Revisar y revocar aplicaciones con permisos excesivos o no justificadas.
– **Formación continua:** Programas de concienciación para empleados sobre phishing y amenazas SaaS.
– **Segmentación de roles y privilegios:** Aplicar el principio de mínimo privilegio en Salesforce y limitar el acceso a información sensible.
—
### Opinión de Expertos
Miguel Ángel Llorente, analista de amenazas en S21sec, apunta: “Nos encontramos ante una evolución natural en la cadena de ataques SaaS. La colaboración entre grupos como UNC6040 y UNC6395 eleva el nivel de amenaza, obligando a las organizaciones a revisar de inmediato sus estrategias de defensa, especialmente en entornos cloud”.
Por su parte, desde el CERT de INCIBE subrayan la importancia de no confiar únicamente en las medidas nativas de Salesforce: “El refuerzo de autenticación, la monitorización de integraciones y la respuesta rápida ante incidentes deben ser prioridades absolutas en el contexto actual”.
—
### Implicaciones para Empresas y Usuarios
El ataque coordinado a plataformas SaaS como Salesforce supone un reto para la ciberresiliencia empresarial. Las organizaciones que no refuercen sus controles de acceso y monitorización se exponen no solo a pérdidas económicas, sino también a daños reputacionales y sanciones regulatorias.
Para los usuarios finales, la concienciación y la correcta gestión de credenciales son claves para evitar compromisos. Además, la tendencia de los actores a explotar integraciones y APIs obliga a las empresas a revisar periódicamente su mapa de riesgos y dependencias tecnológicas.
—
### Conclusiones
La alerta emitida por el FBI sobre las actividades de UNC6040 y UNC6395 es un recordatorio urgente de la importancia de la seguridad en entornos SaaS. Los equipos de ciberseguridad deben actuar de inmediato reforzando la autenticación, monitorizando la actividad y auditando las integraciones para mitigar riesgos. En un contexto regulatorio cada vez más estricto, la anticipación y respuesta efectiva a estos ataques determinarán la capacidad de las organizaciones para proteger su información crítica y mantener la confianza de sus clientes.
(Fuente: www.darkreading.com)