### Grupo UNC6040 explota aplicaciones de Salesforce para robar datos corporativos

#### Introducción

La creciente sofisticación de los ataques dirigidos a plataformas SaaS ha puesto en alerta a responsables de ciberseguridad en todo el mundo. Recientemente, Google ha identificado una campaña maliciosa orquestada por un grupo rastreado como UNC6040, que está explotando aplicaciones falsas de Salesforce para comprometer organizaciones y exfiltrar información sensible. Este incidente subraya la importancia de reforzar los controles de seguridad en aplicaciones de terceros, especialmente en entornos cloud empresariales ampliamente adoptados, como Salesforce.

#### Contexto del Incidente

UNC6040 es un actor de amenazas avanzado, aún no vinculado oficialmente a ningún país en concreto, que ha centrado sus últimas actividades en la manipulación de aplicaciones legítimas para infiltrarse en infraestructuras críticas. Según el informe de Google Threat Analysis Group (TAG), el grupo ha distribuido versiones manipuladas de aplicaciones populares de Salesforce, engañando a usuarios corporativos para que las instalen bajo la apariencia de herramientas legítimas o actualizaciones recomendadas.

Una vez desplegada la aplicación maliciosa, los atacantes logran acceso persistente a los datos almacenados y gestionados en Salesforce, lo que incluye información financiera, registros de clientes y documentos internos. Este tipo de vector representa un riesgo significativo para organizaciones sujetas a normativas como GDPR o la Directiva NIS2.

#### Detalles Técnicos

El ataque aprovecha la ingeniería social como vector inicial, distribuyendo enlaces a aplicaciones fraudulentas a través de correos electrónicos de phishing y mensajes en plataformas colaborativas internas. La aplicación maliciosa se presenta como una extensión o complemento necesario para Salesforce, lo que induce al usuario a conceder los permisos OAuth requeridos.

**CVE y vectores de ataque:**
Aunque hasta el momento no se ha asignado un CVE específico a esta variante, el ataque se fundamenta en la explotación de los mecanismos OAuth de Salesforce, que permiten a aplicaciones de terceros acceder a datos en nombre del usuario. El grupo UNC6040 manipula el flujo de autorización, solicitando permisos excesivos (privilegios de administrador, lectura y escritura completa de objetos y archivos) bajo la apariencia de funcionalidades legítimas.

**TTPs y frameworks:**
Según el marco MITRE ATT&CK, las TTPs observadas incluyen “Spearphishing Link” (T1566.002), “Abuse Elevation Control Mechanism: Bypass User Account Control” (T1548.002) y “Valid Accounts: Cloud Accounts” (T1078.004). Además, se han identificado módulos personalizados que replican técnicas conocidas en frameworks como Metasploit para el reconocimiento de estructura de la instancia Salesforce y para la exfiltración automatizada de datos a servidores controlados por el adversario.

**Indicadores de compromiso (IoC):**
– Solicitudes OAuth inusuales desde ubicaciones geográficas atípicas.
– Aplicaciones de terceros desconocidas con permisos elevados en la consola de administración de Salesforce.
– Conexiones salientes cifradas a dominios recientemente registrados fuera de la infraestructura habitual.

#### Impacto y Riesgos

El impacto potencial de esta campaña es crítico. Salesforce es el CRM líder mundial, utilizado por más del 23% de las grandes empresas europeas y una cuota global que supera el 20%. La explotación de aplicaciones de terceros puede facilitar el acceso a datos de millones de clientes, contratos confidenciales y trazabilidad de operaciones internas.

En términos económicos, una violación de estas características podría acarrear sanciones bajo GDPR que alcanzan hasta el 4% de la facturación anual, así como daños reputacionales y pérdida de confianza de clientes clave. Además, el acceso persistente permite movimientos laterales hacia otros sistemas cloud integrados, multiplicando el riesgo.

#### Medidas de Mitigación y Recomendaciones

Los equipos de seguridad deben:

– Restringir la instalación de aplicaciones de terceros a través de políticas de control de acceso en Salesforce.
– Auditar regularmente los permisos concedidos a integraciones y revocar aquellos que sean excesivos o no utilizados.
– Monitorizar los logs de autenticación OAuth y establecer alertas ante la aparición de nuevas aplicaciones con permisos elevados.
– Implementar autenticación multifactor (MFA) obligatoria para todos los usuarios con acceso administrativo.
– Utilizar soluciones de CASB (Cloud Access Security Broker) para detectar comportamientos anómalos y prevenir la exfiltración de datos.
– Realizar campañas de concienciación sobre phishing dirigidas a usuarios con acceso privilegiado.

#### Opinión de Expertos

Javier García, CISO de una consultora tecnológica europea, señala: “Las plataformas SaaS han democratizado el acceso a herramientas avanzadas, pero también han abierto la puerta a un nuevo vector de ataque: la cadena de suministro digital. La confianza ciega en aplicaciones de terceros debe acabar, y es imprescindible auditar cada integración como si fuera software propio”.

Desde el ámbito del análisis SOC, Ana Martínez indica que “la supervisión de eventos OAuth y la segmentación de permisos son las únicas barreras efectivas frente a ataques de esta naturaleza. Las organizaciones suelen infravalorar la superficie de ataque de sus CRMs”.

#### Implicaciones para Empresas y Usuarios

Las empresas deben considerar este incidente como un recordatorio urgente de la necesidad de evaluar continuamente el riesgo asociado a aplicaciones de terceros en entornos SaaS. Los equipos de TI y seguridad no pueden delegar completamente en los proveedores cloud y deben establecer mecanismos propios de control y auditoría. Para los usuarios finales, es crucial entender que la instalación de aplicaciones no oficiales puede comprometer no solo su cuenta, sino la seguridad de toda la organización.

#### Conclusiones

La campaña de UNC6040 demuestra que los atacantes siguen encontrando nuevas formas de explotar la confianza en aplicaciones legítimas para acceder a datos críticos. Este incidente resalta la necesidad de reforzar las políticas de seguridad en entornos SaaS, endurecer los controles de acceso y formar a los usuarios en la detección de amenazas avanzadas. La vigilancia continua y la aplicación de buenas prácticas son, hoy más que nunca, esenciales para proteger los activos digitales corporativos.

(Fuente: www.darkreading.com)