AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Ataques

**Hackers explotan una mala configuración en Salesforce y acceden a datos internos de McGraw-Hill**

admin

### 1. Introducción

La multinacional educativa McGraw-Hill ha confirmado recientemente un incidente de seguridad que ha comprometido la confidencialidad de su información interna. Según un comunicado remitido a BleepingComputer, la brecha se originó tras la explotación de una mala configuración en su instancia de Salesforce, uno de los CRM más populares del mercado. Este incidente pone de manifiesto los riesgos asociados a las configuraciones incorrectas en plataformas SaaS ampliamente adoptadas en el sector educativo y corporativo.

### 2. Contexto del Incidente

El acceso no autorizado fue detectado tras una investigación interna motivada por la presencia de datos de McGraw-Hill en foros de la dark web. El vector de ataque fue una instancia de Salesforce mal configurada, lo que permitió a los actores de amenaza extraer información sensible. Salesforce, empleado por McGraw-Hill para la gestión de relaciones con clientes y almacenamiento de información crítica, se ha convertido en un objetivo frecuente para los ciberdelincuentes debido a la cantidad y sensibilidad de los datos que alberga.

El incidente se produce en un contexto de creciente explotación de plataformas SaaS, donde configuraciones por defecto o permisos excesivos pueden abrir la puerta a accesos no autorizados. En este caso, la falta de segmentación adecuada y la exposición de ciertos objetos y campos a usuarios anónimos resultaron determinantes para el éxito del ataque.

### 3. Detalles Técnicos

El incidente está relacionado con una mala configuración de los controles de acceso en Salesforce, que permitió a los atacantes consultar y extraer datos internos. Aunque no se ha asignado un CVE específico, este patrón de ataque coincide con técnicas documentadas en la matriz MITRE ATT&CK, concretamente T1190 (Exploitation of Remote Services) y T1087 (Account Discovery).

Los vectores de ataque incluyen:

– **Permisos excesivos**: Objetos y campos de Salesforce configurados como “públicos” o accesibles a perfiles de usuario no autenticados.
– **API expuesta**: Una API de Salesforce sin las restricciones adecuadas permitía consultas no autorizadas, facilitando la extracción masiva de datos.
– **Abuso de automatizaciones**: Los atacantes podrían haber utilizado herramientas automáticas para enumerar objetos y registros, como scripts personalizados o módulos existentes en frameworks de pentesting, aunque no se ha confirmado el uso concreto de Metasploit o similares.

Entre los indicadores de compromiso (IoC) detectados figuran:

– Accesos inusuales a endpoints de Salesforce desde direcciones IP geolocalizadas fuera de las regiones habituales de operación.
– Consultas atípicas a objetos de CRM, como cuentas, contactos y oportunidades, en intervalos de tiempo reducidos.
– Descargas de grandes volúmenes de datos en formatos estándar (CSV, JSON).

### 4. Impacto y Riesgos

El alcance del incidente es significativo, aunque McGraw-Hill no ha detallado cifras exactas. Sin embargo, fuentes no oficiales estiman que podrían haberse visto afectados datos personales de decenas de miles de estudiantes, profesores y empleados, incluidos nombres, direcciones de correo, historiales de contacto y registros de actividad comercial.

El riesgo principal es el uso de esta información para ataques de ingeniería social, spear phishing o su venta en mercados ilícitos. Además, la exposición de información confidencial de clientes o partners podría derivar en incumplimientos de GDPR y otras normativas, con posibles sanciones económicas que pueden alcanzar hasta el 4% de la facturación anual global según la legislación europea.

### 5. Medidas de Mitigación y Recomendaciones

McGraw-Hill ha procedido a:

– Reconfigurar los permisos de acceso y visibilidad en Salesforce, asegurando el principio de mínimo privilegio.
– Realizar una auditoría completa de las instancias SaaS y sus integraciones.
– Notificar a los usuarios afectados y reforzar la monitorización de accesos sospechosos.

Se recomienda a las organizaciones:

– Implementar revisiones periódicas de configuraciones en aplicaciones SaaS.
– Utilizar herramientas de auditoría y monitoreo específicas para Salesforce (Security Health Check, Event Monitoring, etc.).
– Restringir el acceso a APIs y objetos críticos sólo a usuarios autenticados y autorizados.
– Capacitar a los administradores sobre mejores prácticas de seguridad en entornos cloud y frameworks como CIS Salesforce Benchmark.

### 6. Opinión de Expertos

Diversos analistas advierten que la configuración errónea de aplicaciones SaaS es una de las principales amenazas emergentes en 2024. Según el último informe de Gartner, el 75% de las brechas en la nube serán atribuibles a errores de configuración, y no a vulnerabilidades de software. “Las plataformas SaaS ofrecen flexibilidad, pero esa misma flexibilidad puede ser un arma de doble filo si no se gestiona correctamente la seguridad”, señala Javier Gallego, CISO de una consultora tecnológica española.

### 7. Implicaciones para Empresas y Usuarios

El incidente refuerza la necesidad de que las organizaciones revisen regularmente las configuraciones de sus plataformas cloud, especialmente en sectores regulados como el educativo. Para los usuarios, el riesgo reside en que sus datos personales puedan ser utilizados en campañas de phishing o fraude. Para las empresas, además del daño reputacional, existe la posibilidad de sanciones regulatorias y litigios por parte de los afectados.

En el contexto de la reciente entrada en vigor de la Directiva NIS2 en la UE, este tipo de incidentes podría acarrear obligaciones adicionales de notificación y refuerzo de controles de seguridad.

### 8. Conclusiones

El caso McGraw-Hill evidencia cómo una simple mala configuración en una plataforma SaaS puede desembocar en una brecha de datos de gran alcance. Los equipos de seguridad deben priorizar la revisión continua de los controles de acceso y la formación específica en la administración segura de servicios cloud para mitigar estos riesgos. La integración de auditorías automatizadas, el seguimiento de logs y el cumplimiento normativo son ya requisitos ineludibles en la gestión moderna de la ciberseguridad corporativa.

(Fuente: www.bleepingcomputer.com)