Ataques masivos a integraciones de Salesforce y Salesloft: tokens de autenticación comprometidos

Introducción

La reciente investigación de Google Threat Intelligence Group (GTIG) ha sacudido el panorama de la ciberseguridad empresarial tras descubrir una campaña de ataques mucho más amplia de lo inicialmente estimado, dirigida a instancias de Salesforce mediante integraciones con plataformas como Salesloft y Drift. Lo más preocupante es que estos ataques afectan potencialmente a todos los usuarios de integraciones, poniendo en jaque la seguridad de los tokens de autenticación y el acceso a datos corporativos críticos. Esta situación exige una revisión urgente de los modelos de confianza en la gestión de identidades y accesos en entornos SaaS.

Contexto del Incidente o Vulnerabilidad

El incidente salió a la luz tras la detección de actividades anómalas en diversas organizaciones que utilizan Salesforce junto con Salesloft y Drift, dos plataformas ampliamente empleadas para la automatización de ventas y marketing. Inicialmente, los expertos creían que la campaña afectaba únicamente a integraciones específicas de Salesloft y Drift, pero Google ha confirmado que el alcance es mucho mayor, comprometiendo cualquier integración conectada a través de la plataforma Drift.

Los atacantes han explotado la gestión inadecuada de tokens de autenticación OAuth, accediendo a información sensible y, en algunos casos, escalando privilegios dentro de los sistemas afectados. Esta brecha ha puesto en riesgo la confidencialidad, integridad y disponibilidad de datos gestionados por miles de empresas a nivel global.

Detalles Técnicos

Aunque aún no se ha asignado un CVE oficial a la vulnerabilidad, la campaña se caracteriza por el abuso de tokens OAuth almacenados o gestionados de forma insegura en Drift, que pueden ser utilizados para acceder a integraciones con Salesforce, Salesloft y otros sistemas conectados. Los atacantes emplean técnicas asociadas al framework MITRE ATT&CK, especialmente:

– T1552: Credenciales en archivos y tokens expuestos.
– T1078: Abuso de credenciales legítimas.
– T1098: Creación y uso de cuentas persistentes.

Durante la campaña, se identificaron indicadores de compromiso (IoC) como direcciones IP procedentes de infraestructuras anónimas, patrones de acceso inusuales a las API de Salesforce y la manipulación de endpoints de autenticación OAuth. Se ha observado el uso de herramientas de post-explotación como Cobalt Strike y variantes de Metasploit para la persistencia y el movimiento lateral una vez obtenido el acceso inicial.

Impacto y Riesgos

El impacto potencial es significativo. Salesforce y Salesloft son utilizados por más del 60% de las empresas del Fortune 500, lo que implica una superficie de ataque de cientos de miles de organizaciones. La exposición de tokens de autenticación permite a los atacantes acceder o modificar datos críticos, exfiltrar información confidencial y, en muchos casos, suplantar la identidad de usuarios legítimos.

Se estima que cientos de instancias han sido comprometidas, con un impacto económico potencial que supera los 100 millones de euros en costes asociados a recuperación, pérdida de reputación y posibles sanciones regulatorias bajo normativas como GDPR y la inminente NIS2.

Medidas de Mitigación y Recomendaciones

GTIG recomienda a todas las organizaciones que utilicen integraciones con Drift, Salesloft o Salesforce:

– Revocar y regenerar inmediatamente todos los tokens OAuth almacenados o gestionados en Drift.
– Auditar los logs de acceso y uso de tokens para identificar actividades sospechosas desde el 1 de mayo de 2024.
– Implementar controles de acceso estrictos (Zero Trust), así como MFA y políticas de expiración de tokens.
– Monitorizar de manera continua las integraciones SaaS y aplicar segmentación de API.
– Actualizar y parchear todas las plataformas implicadas a la última versión disponible.
– Revisar las configuraciones de permisos y evitar el uso de cuentas con privilegios excesivos en integraciones.

Opinión de Expertos

Varios analistas SOC y responsables de seguridad han mostrado su preocupación por la cadena de confianza en entornos SaaS. Según Marta López, CISO de una consultora española: “Este incidente demuestra que la seguridad de las integraciones es tan crítica como la del core de las aplicaciones. La gestión de tokens y credenciales en plataformas de terceros debe ser revisada periódicamente, sobre todo ante la proliferación de ataques automatizados”.

Por su parte, el equipo de Threat Intelligence de S21sec destaca la importancia de implementar detección de anomalías y response automatizado para evitar el movimiento lateral tras la exposición de un token.

Implicaciones para Empresas y Usuarios

Las empresas deben considerar este incidente como una advertencia sobre los riesgos inherentes a la economía API y la integración extensiva de servicios SaaS. No solo están en juego los datos internos, sino también la posible exposición de información de clientes y partners, lo que puede acarrear consecuencias legales bajo el marco de la GDPR y sanciones administrativas por incumplimiento de la NIS2.

Los usuarios finales pueden verse expuestos a ataques de phishing personalizados, suplantación de identidad o fuga de datos sensibles, derivando en fraudes y campañas de ingeniería social más sofisticadas.

Conclusiones

El incidente pone de manifiesto la necesidad de una gestión proactiva y continua de los riesgos asociados a las integraciones SaaS, especialmente en lo referente a la protección de tokens de autenticación y credenciales. Es imperativo que los equipos de seguridad revisen sus políticas, monitoricen activamente sus entornos y respondan de forma ágil ante cualquier indicio de brecha. La colaboración entre fabricantes, proveedores de servicios y la comunidad de ciberseguridad será clave para mitigar los impactos y fortalecer la resiliencia frente a futuras campañas.

(Fuente: feeds.feedburner.com)