Ciberataque a Salesloft compromete tokens OAuth de Drift: análisis técnico y repercusiones

Introducción

En las últimas semanas, el sector de la ciberseguridad ha sido testigo de una campaña masiva de robo de datos que ha tenido como objetivo la plataforma de automatización de ventas Salesloft. El incidente ha derivado en el acceso no autorizado a tokens OAuth y refresh tokens vinculados con el agente de inteligencia artificial (IA) de Drift, una solución ampliamente implementada en entornos empresariales para la automatización y gestión de la comunicación con clientes. Este ataque, catalogado como oportunista y atribuido al grupo de amenazas UNC6395 por Google Threat Intelligence Group (GTIG) y Mandiant, pone de manifiesto los riesgos inherentes a la cadena de suministro SaaS y al uso de APIs de autorización en servicios críticos de negocio.

Contexto del Incidente

El incidente salió a la luz tras la detección de accesos inusuales y transferencias masivas de datos en la infraestructura de Salesloft, plataforma SaaS utilizada por miles de organizaciones para optimizar procesos de ventas. El objetivo principal del ataque fue el robo de tokens OAuth y refresh tokens, credenciales utilizadas para la autenticación delegada y el acceso persistente a las APIs de Drift, el popular chatbot de IA.

El ataque se enmarca en una tendencia creciente de amenazas orientadas a explotar integraciones entre plataformas SaaS mediante la obtención de credenciales de acceso extendido, aprovechando la confianza y los permisos otorgados entre servicios interconectados. La campaña ha sido considerada oportunista, dado que los actores de amenazas no habrían seleccionado objetivos específicos, sino que habrían intentado maximizar el impacto a través de la explotación masiva de entornos expuestos.

Detalles Técnicos

El vector de ataque principal ha sido la explotación de la cadena de confianza OAuth entre Salesloft y Drift. Los atacantes lograron obtener acceso a tokens OAuth y refresh tokens almacenados o gestionados por Salesloft, permitiéndoles suplantar a usuarios legítimos y acceder a datos y funcionalidades de Drift sin interactuar directamente con los sistemas de autenticación primarios.

– CVEs asociados: Hasta el momento, no se ha vinculado el incidente a una vulnerabilidad específica con CVE asignado, sino a malas prácticas de gestión de tokens y una posible exposición de endpoints API.
– Técnicas y Tácticas (MITRE ATT&CK): El ataque se alinea con las técnicas T1557 (Adversary-in-the-Middle) y T1078 (Valid Accounts), aprovechando la reutilización y el movimiento lateral mediante credenciales válidas.
– IoCs: Se han identificado patrones de acceso inusual a endpoints de la API de Drift, direcciones IP asociadas con infraestructura de anonimización y agentes de usuario no estándar.
– Herramientas y frameworks: Aunque no se ha confirmado el uso de frameworks como Metasploit o Cobalt Strike, la campaña ha demostrado un alto grado de automatización en la recolección y validación de tokens.

Impacto y Riesgos

El compromiso de tokens OAuth y refresh tokens permite a los atacantes acceder persistentemente a los recursos y datos expuestos por Drift en representación de usuarios legítimos. Esto puede traducirse en:

– Robo de información confidencial y datos de clientes.
– Manipulación de flujos de comunicación automatizada.
– Riesgo de escalado de privilegios si se explotan integraciones adicionales.
– Potencial incumplimiento de la GDPR y la inminente Directiva NIS2, dada la exposición de datos personales y la posible afectación de servicios esenciales.

Según estimaciones preliminares, el ataque podría haber afectado al 5-10% de las organizaciones que integran Salesloft con Drift, con un impacto económico potencial que podría superar los 10 millones de euros en costes directos e indirectos.

Medidas de Mitigación y Recomendaciones

Ante la magnitud del incidente, las siguientes acciones son prioritarias para mitigar riesgos:

– Revocación inmediata de todos los tokens OAuth y refresh tokens comprometidos.
– Revisión y endurecimiento de los procesos de gestión y almacenamiento de credenciales en plataformas SaaS.
– Monitorización continua de accesos a APIs y detección de patrones anómalos.
– Implementación de controles de acceso adaptativos y MFA para usuarios y aplicaciones integradas.
– Auditoría de logs y revisión de las políticas de consentimiento y autorización entre plataformas conectadas.
– Actualización de acuerdos de procesamiento de datos conforme a GDPR y NIS2.

Opinión de Expertos

Especialistas en ciberseguridad, como el equipo de Mandiant, subrayan la importancia de la visibilidad y el control sobre las integraciones SaaS. “La gestión de tokens OAuth es uno de los puntos más críticos y, a la vez, menos vigilados en la arquitectura moderna de aplicaciones empresariales. La confianza entre sistemas debe gestionarse con controles granulares y monitorización activa”, señala un analista principal.

Implicaciones para Empresas y Usuarios

Las organizaciones deben reconsiderar la seguridad de sus integraciones SaaS, especialmente en entornos donde la automatización y la delegación de permisos son esenciales para el negocio. El incidente pone de relieve la necesidad de:

– Evaluar el riesgo de la cadena de suministro SaaS.
– Garantizar la transparencia y el control sobre los datos y permisos otorgados a aplicaciones de terceros.
– Adaptar los procedimientos de respuesta ante incidentes a escenarios en los que la suplantación de identidad se produce mediante credenciales legítimas y no mediante exploits tradicionales.

Conclusiones

La brecha de seguridad en Salesloft y Drift es un recordatorio de los desafíos asociados a la gestión de credenciales y tokens en entornos SaaS interconectados. La rápida identificación y revocación de accesos, junto con la revisión continua de los controles de seguridad y cumplimiento, son esenciales para contener este tipo de amenazas y prevenir futuras brechas de datos.

(Fuente: feeds.feedburner.com)