**Salesforce rechaza negociar con ciberdelincuentes tras oleada de robos masivos de datos**
—
### Introducción
En los últimos meses, Salesforce, el gigante del software CRM en la nube, ha sido objeto de una serie de ataques cibernéticos dirigidos contra sus clientes, resultando en el robo masivo de datos sensibles. Ante la presión de los atacantes, que han exigido rescates a cambio de no divulgar la información sustraída, la compañía ha confirmado públicamente que no entablará negociaciones ni realizará pagos de rescate. Esta postura firme, alineada con las mejores prácticas del sector y el cumplimiento normativo, marca un precedente significativo en la gestión de incidentes de ransomware y extorsión digital.
—
### Contexto del Incidente
El incidente se inscribe en una tendencia ascendente de ataques dirigidos a servicios en la nube, donde los ciberdelincuentes aprovechan tanto vulnerabilidades técnicas como errores de configuración por parte de los clientes. Durante el primer semestre de 2024, múltiples organizaciones que utilizan Salesforce reportaron accesos no autorizados a sus entornos, resultando en la exfiltración de datos comerciales, información personal identificable (PII) y registros financieros.
La campaña maliciosa se atribuye a grupos de ransomware como-as-a-service (RaaS), que han perfeccionado técnicas de doble extorsión: no solo cifran los datos, sino que amenazan con su filtración pública. Tras los ataques, los actores enviaron demandas de pago a las empresas afectadas y, en algunos casos, intentaron contactar directamente a Salesforce para forzar una negociación.
—
### Detalles Técnicos
Las investigaciones iniciales apuntan a la explotación de credenciales comprometidas y malas prácticas en la gestión de accesos, más que a vulnerabilidades inéditas en la propia plataforma (no se ha reportado ningún CVE específico vinculado). Sin embargo, Salesforce ha identificado intentos de ataque que emplean técnicas conocidas como:
– **Phishing dirigido** para capturar credenciales de administradores.
– **Abuso de OAuth y API** para acceder a grandes volúmenes de datos, usando tokens válidos previamente robados.
– **Movimientos laterales** dentro de la red de las empresas clientes, permitiendo escalar privilegios y llegar a repositorios críticos.
– **Herramientas automatizadas**, como scripts Python y módulos customizados de frameworks como Metasploit, para automatizar la exfiltración de datos.
– **TTPs vinculadas a MITRE ATT&CK**: TA0001 (Initial Access), T1078 (Valid Accounts), T1557 (Man-in-the-Middle), T1020 (Automated Exfiltration).
Los indicadores de compromiso (IoC) detectados incluyen IPs asociadas a infraestructura maliciosa, hashes de binarios utilizados en la extracción de datos y patrones anómalos de acceso a APIs.
—
### Impacto y Riesgos
Hasta el momento, se estima que más del 15% de los clientes empresariales de Salesforce en sectores clave (finanzas, retail y salud) han sufrido accesos no autorizados, con pérdidas directas que superan los 120 millones de euros según datos preliminares. Los riesgos principales abarcan:
– **Pérdida de confidencialidad** de datos sensibles y propiedad intelectual.
– **Exposición a sanciones regulatorias** bajo GDPR y futuras directivas como NIS2, con multas potenciales de hasta el 4% de la facturación global.
– **Reputación dañada** y pérdida de confianza de clientes y partners.
– **Aumento de ataques de ingeniería social** derivados de la información filtrada.
—
### Medidas de Mitigación y Recomendaciones
Salesforce y diversos CSIRTs recomiendan a las empresas clientes:
1. **Auditar y rotar credenciales** de todos los usuarios con acceso privilegiado.
2. **Implementar autenticación multifactor (MFA)** de manera obligatoria.
3. **Revisar permisos de aplicaciones de terceros** y revocar accesos innecesarios vía OAuth.
4. **Monitorizar logs de acceso y uso de API** en busca de patrones anómalos.
5. **Aplicar políticas estrictas de Zero Trust** y segmentación de redes.
6. **Formar al personal** en detección de phishing y amenazas BEC.
7. **Deshabilitar cuentas inactivas** y revisar la configuración de sharing rules y data export.
Además, se aconseja mantener actualizado el plan de respuesta a incidentes y establecer canales de comunicación directa con Salesforce para reportar anomalías.
—
### Opinión de Expertos
Especialistas en ciberseguridad como Pablo Fernández (S21sec) y Marta Benito (INCIBE) valoran positivamente la decisión de Salesforce de no negociar con ciberdelincuentes, ya que el pago de rescates fomenta la perpetuación de estos delitos. Coinciden en que la responsabilidad última de la protección recae en una gestión compartida entre proveedor y cliente, especialmente en entornos SaaS, donde la seguridad de la configuración y los accesos es crítica.
—
### Implicaciones para Empresas y Usuarios
Este incidente subraya la vulnerabilidad de los ecosistemas SaaS ante errores de configuración y credenciales débiles. Las empresas deben revisar sus políticas de seguridad en la nube, implementar controles técnicos avanzados y concienciar a sus empleados. Para los usuarios finales, la exposición de datos puede traducirse en un aumento de fraudes y ataques de suplantación de identidad.
Desde el punto de vista normativo, la inminente entrada en vigor de NIS2 y la aplicación estricta del GDPR harán que los organismos reguladores exijan una mayor transparencia y diligencia en la gestión de incidentes, así como plazos reducidos para la notificación de filtraciones.
—
### Conclusiones
La negativa de Salesforce a ceder ante la extorsión digital refuerza la importancia de una postura proactiva y ética en la gestión de incidentes de seguridad. Sin embargo, el incidente evidencia la necesidad urgente de mejorar la protección de los entornos SaaS y de fomentar una corresponsabilidad entre proveedores y clientes. La adopción de buenas prácticas, junto con un cumplimiento normativo riguroso, son factores clave para mitigar el riesgo y proteger los activos digitales en la economía actual.
(Fuente: www.bleepingcomputer.com)