**Robo de tokens OAuth de Drift en Salesloft: la brecha en GitHub desata ola de ataques contra Salesforce**
—
### 1. Introducción
El ecosistema de SaaS y la integración de aplicaciones mediante OAuth han facilitado notoriamente la productividad y la automatización empresarial, pero también han abierto nuevas superficies de ataque. En un reciente incidente que afecta a múltiples empresas, Salesloft, plataforma líder en automatización de ventas, ha confirmado que su cuenta de GitHub fue comprometida en marzo de 2023. Este acceso inicial permitió a los atacantes sustraer tokens OAuth de Drift, los cuales fueron posteriormente utilizados en agosto de 2023 para llevar a cabo una serie de ataques dirigidos a instancias de Salesforce a gran escala. Este artículo detalla el vector de ataque, el impacto en el sector y las recomendaciones para mitigar riesgos similares en entornos profesionales.
—
### 2. Contexto del Incidente
Salesloft detectó en agosto una actividad inusual relacionada con integraciones de Drift y Salesforce. Tras una investigación forense, la empresa confirmó que la raíz del incidente se remonta a marzo, cuando actores maliciosos obtuvieron acceso no autorizado a uno de sus repositorios de GitHub. Durante ese periodo, se extrajeron tokens OAuth de Drift almacenados inadvertidamente en el repositorio, permitiendo a los atacantes manipular la cadena de confianza y acceder a datos sensibles en múltiples cuentas de Salesforce vinculadas.
Este incidente es especialmente relevante en el contexto actual, donde la dependencia de integraciones OAuth y el uso extendido de plataformas SaaS incrementan los riesgos asociados a la gestión de credenciales y secretos en repositorios de código.
—
### 3. Detalles Técnicos
**CVE y Vectores de Ataque**
Hasta la fecha, no se ha asignado un identificador CVE específico al incidente, ya que no se trata de una vulnerabilidad inherente al software, sino de una mala práctica operacional: el almacenamiento de secretos en repositorios de código. El vector de ataque se basó en el acceso no autorizado a GitHub, seguido por la exfiltración de tokens OAuth de Drift.
**TTPs y Framework MITRE ATT&CK**
– **T1078: Access Token Manipulation**. Los atacantes aprovecharon los tokens OAuth robados para autenticarse como aplicaciones legítimas.
– **T1552: Unsecured Credentials**. Los secretos se almacenaban en texto plano en el repositorio GitHub.
– **T1110: Brute Force**. Aunque no se empleó fuerza bruta, el incidente subraya la importancia de la gestión de accesos al código fuente.
– **T1087: Account Discovery**. Acceso a datos sensibles en Salesforce mediante sesiones OAuth comprometidas.
**Indicadores de Compromiso (IoC)**
– Acceso no autorizado desde direcciones IP externas a la infraestructura habitual de Salesloft.
– Uso de tokens OAuth de Drift en endpoints asociados a Salesforce entre marzo y agosto de 2023.
– Solicitudes API inusuales con patrones de automatización y scraping.
**Herramientas y Frameworks Observados**
No se ha confirmado el uso de frameworks de explotación como Metasploit o Cobalt Strike en la intrusión inicial, aunque los atacantes emplearon herramientas personalizadas para la extracción y reutilización de los tokens OAuth a través de APIs de Drift y Salesforce.
—
### 4. Impacto y Riesgos
El compromiso permitió a los actores maliciosos acceder a información confidencial de clientes de Salesloft y Salesforce, tales como registros de ventas, datos personales y comunicaciones comerciales. Según estimaciones internas, cerca del 2% de los clientes de Salesloft que utilizaban integraciones Drift-Salesforce podrían verse afectados, lo que equivale a decenas de organizaciones de alto valor.
Económicamente, el incidente podría resultar en pérdidas que superen los 3 millones de dólares en concepto de respuesta, indemnizaciones y cumplimiento normativo. Además, la exposición de datos personales pone a las empresas afectadas en riesgo de sanciones bajo el RGPD y la inminente directiva NIS2, que refuerza los requisitos de seguridad para proveedores de servicios digitales en la UE.
—
### 5. Medidas de Mitigación y Recomendaciones
– **Rotación inmediata de todos los tokens OAuth y credenciales API expuestas.**
– **Implementación de escaneo de secretos automatizado** en repositorios de código (herramientas como GitGuardian, TruffleHog).
– Uso de **entornos de desarrollo segregados**, evitando la mezcla de credenciales reales en repositorios compartidos.
– **MFA obligatorio** para todas las cuentas de GitHub y plataformas SaaS integradas.
– Auditoría periódica de permisos y revisiones de logs de acceso a API.
– Formación continua para desarrolladores sobre gestión segura de secretos y cumplimiento de políticas DevSecOps.
—
### 6. Opinión de Expertos
Analistas de ciberseguridad coinciden en que el incidente de Salesloft es representativo de una tendencia al alza: los ataques a la cadena de suministro software y las integraciones OAuth. Pablo García, CISO de una consultora tecnológica europea, señala que “el error no es solo técnico, sino de proceso; la seguridad de las integraciones SaaS debe ser un objetivo prioritario, especialmente bajo la presión regulatoria de NIS2”.
—
### 7. Implicaciones para Empresas y Usuarios
Las organizaciones que dependen de integraciones SaaS y flujos automatizados deben revisar urgentemente sus políticas de gestión de secretos y accesos. La filtración de datos a través de integraciones comprometidas puede pasar desapercibida durante meses, exponiendo a las empresas a daños reputacionales y multas regulatorias. Los usuarios finales, por su parte, deben ser conscientes de los riesgos asociados a la concesión de permisos OAuth y exigir transparencia a sus proveedores sobre auditorías y gestión de incidentes.
—
### 8. Conclusiones
El incidente de Salesloft pone de manifiesto la importancia crítica de la gestión segura de secretos y la monitorización de integraciones OAuth en entornos empresariales modernos. Las empresas deben reforzar sus controles técnicos y procesos internos para anticipar y mitigar riesgos en la cadena de suministro digital, adoptando un enfoque proactivo bajo las nuevas exigencias regulatorias.
(Fuente: www.bleepingcomputer.com)