Grupos UNC6040 y UNC6395 intensifican la extorsión tras comprometer instancias de Salesforce

Introducción

En las últimas semanas, la comunidad de ciberseguridad ha sido testigo de una oleada de incidentes dirigidos a organizaciones que utilizan Salesforce como plataforma principal de gestión de relaciones con clientes (CRM). Dos grupos de amenazas persistentes avanzadas, identificados como UNC6040 y UNC6395, han protagonizado campañas de intrusión orientadas al robo de datos confidenciales y la posterior extorsión a las víctimas. El FBI ha publicado recientemente indicadores de compromiso (IoC) detallados sobre esta actividad maliciosa, que pone en jaque la seguridad de infraestructuras SaaS críticas a nivel global.

Contexto del Incidente o Vulnerabilidad

Salesforce, utilizado por más del 90% de las empresas Fortune 500, se ha convertido en un objetivo atractivo para los actores de amenazas, dada la cantidad y sensibilidad de los datos que almacena: información de clientes, contratos, acuerdos comerciales, y datos personales sujetos a protección legal (GDPR, NIS2, entre otros). Las campañas atribuidas a UNC6040 y UNC6395 han explotado principalmente fallos en la configuración y credenciales comprometidas, accediendo a instancias corporativas y exfiltrando grandes volúmenes de información antes de iniciar procesos de extorsión.

Según fuentes abiertas y el propio FBI, desde principios de 2024 se han registrado al menos 43 incidentes confirmados relacionados, con una especial concentración en sectores financiero, sanitario y retail. La tendencia marca un cambio de paradigma: los atacantes no buscan únicamente el cifrado o sabotaje, sino el chantaje tras la filtración selectiva de datos críticos.

Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

Aunque no se ha identificado aún una vulnerabilidad específica (CVE) en Salesforce explotada de forma masiva, los grupos UNC6040 y UNC6395 han empleado diversas tácticas, técnicas y procedimientos (TTP) alineados con el marco MITRE ATT&CK:

– **Initial Access (TA0001):** Uso de credenciales robadas mediante phishing dirigido, ataques de password spraying y explotación de integraciones OAuth mal configuradas, especialmente en entornos con autenticación multifactor insuficiente.
– **Privilege Escalation (TA0004):** Abuso de permisos excesivos en objetos personalizados y cuentas de servicio.
– **Defense Evasion (TA0005):** Eliminación de logs de acceso y uso de ofuscación en payloads transmitidos mediante API REST de Salesforce.
– **Collection and Exfiltration (TA0009/TA0010):** Descarga masiva de registros y archivos adjuntos utilizando scripts automatizados (frecuentemente escritos en Python y Node.js), además del uso de aplicaciones maliciosas conectadas vía API.
– **Command and Control (TA0011):** Comunicación mediante canales cifrados y proxies inversos para dificultar la trazabilidad.

El FBI ha compartido IoC clave, incluyendo direcciones IP de origen, patrones de User-Agent inusuales («SalesforceIntegrationBot/1.0»), y hashes de archivos utilizados para la exfiltración. Se han observado herramientas como Metasploit para la explotación inicial y Cobalt Strike para el movimiento lateral y persistencia.

Impacto y Riesgos

Las consecuencias de estos ataques son significativas:

– **Exposición de datos personales y comerciales sensibles:** Contraviniendo GDPR y otras normativas, con riesgo de sanciones que pueden alcanzar el 4% de la facturación anual global.
– **Reputación empresarial:** Fugas recientes han provocado caídas del 7-12% en la cotización de empresas afectadas.
– **Extorsión y doble chantaje:** Los atacantes exigen pagos en criptomonedas para no publicar la información robada en foros clandestinos y dark web.
– **Interrupción operativa:** En algunos casos, los atacantes han manipulado la configuración de Salesforce, bloqueando el acceso a usuarios legítimos.

Medidas de Mitigación y Recomendaciones

El FBI y expertos independientes recomiendan:

1. **Revisión de configuraciones de seguridad:** Verificar y reforzar permisos y roles, eliminando privilegios innecesarios.
2. **Implementación de MFA robusta:** Preferentemente basada en tokens físicos o aplicaciones móviles seguras.
3. **Monitorización avanzada:** Configurar alertas sobre accesos anómalos, integraciones sospechosas y descargas masivas.
4. **Auditoría de aplicaciones conectadas:** Revisar y restringir OAuth y API tokens, eliminando integraciones obsoletas o no autorizadas.
5. **Respuesta ante incidentes:** Preparar playbooks específicos para entornos SaaS, incluyendo Salesforce, con ejercicios de simulación regulares.
6. **Educación y concienciación:** Formación continua a empleados sobre phishing y buenas prácticas de gestión de credenciales.

Opinión de Expertos

Javier Muñoz, analista de amenazas en ElevenPaths, destaca: “El aumento de ataques a plataformas SaaS demuestra que la seguridad perimetral clásica es insuficiente. Las organizaciones deben adoptar un enfoque Zero Trust y reforzar visibilidad y control sobre sus activos cloud”.

Por su parte, Ana Rodríguez, CISO en una entidad financiera europea, advierte: “No basta con confiar en la seguridad por defecto de proveedores como Salesforce. La responsabilidad compartida implica auditar, monitorizar y responder proactivamente ante cualquier indicio de compromiso”.

Implicaciones para Empresas y Usuarios

Estos incidentes subrayan la urgencia de adoptar una cultura de ciberseguridad orientada a la protección de entornos SaaS. Además del riesgo regulatorio y financiero, las empresas enfrentan la posible pérdida de confianza de clientes y socios estratégicos. Los usuarios deben exigir transparencia y garantías adicionales a sus proveedores, incluyendo auditorías independientes y certificaciones (ISO 27001, SOC 2).

Conclusiones

El caso de UNC6040 y UNC6395 evidencia la sofisticación creciente de las amenazas contra plataformas SaaS críticas como Salesforce. Las organizaciones deben priorizar la seguridad en la nube, implementar controles de acceso granulares y estar preparadas para responder ante incidentes, minimizando así el impacto de futuras campañas de extorsión y robo de datos.

(Fuente: www.securityweek.com)