Una campaña de ataque a la cadena de suministro dirigida a la plataforma de integración Salesloft Drift derivó en la comprometida de tokens OAuth y refresh, habilitando accesos no autorizados a instancias de Salesforce de múltiples compañías. Entre los afectados confirmados figuran Zscaler, Palo Alto Networks, Cloudflare, así como Workiva, PagerDuty, Exclaimer y otros. De acuerdo con evaluaciones de Google, el incidente tuvo un carácter masivo y alcanzó también datos en Google Workspace.
Cómo ocurrió: abuso de OAuth a través de una integración de terceros
Salesloft Drift conecta el chatbot de IA Drift con Salesforce y otros servicios (incluyendo Slack y Google Workspace) para sincronizar conversaciones, leads y casos de soporte. Entre el 8 y el 18 de agosto de 2025, atacantes obtuvieron acceso a tokens de clientes usados por Drift para integrarse con Salesforce y los emplearon para extraer datos de la CRM. Google recomendó a las organizaciones con Drift integrado en Salesforce asumir exposición de datos y actuar en consecuencia.
Empresas impactadas y alcance del incidente
Zscaler: acceso acotado a CRM y alerta de phishing
Zscaler informó que actores no autorizados accedieron a credenciales de Drift dentro de una campaña de cadena de suministro y obtuvieron acceso limitado a ciertos datos en Salesforce. La empresa indicó que sus productos, servicios e infraestructura no se vieron afectados y no halló abuso de la información, aunque instó a reforzar la vigilancia ante phishing y ingeniería social.
Palo Alto Networks: registros de ventas y datos de soporte
Palo Alto Networks confirmó ser una de las cientos de víctimas. El incidente fue contenido y la aplicación, deshabilitada en su entorno de Salesforce. La comprometida afectó datos de CRM: contactos, información asociada y registros internos de ventas. En soporte, la exposición se limitaría a contactos y comentarios textuales, sin archivos adjuntos.
Cloudflare: 104 tokens de API y contenidos de tickets
Cloudflare detectó acceso a su instancia de Salesforce usada para gestionar casos de clientes. Identificó 104 tokens de API sustraídos, que fueron revocados de forma inmediata; no se observó uso malicioso posterior. La compañía advirtió que algunos tickets podrían contener credenciales o secretos, por lo que recomendó considerar comprometidos los datos compartidos en soporte y rotarlos sin demora.
Otros afectados y atribución
También reportaron exposición en Salesforce Workiva, PagerDuty, Exclaimer, Tanium, SpyCloud, Astrix Security y Cloudinary. Google asocia la campaña al grupo UNC6395, mientras que ShinyHunters reivindicó la autoría ante BleepingComputer. Filtraciones previas atribuidas a ShinyHunters en el ecosistema Salesforce han alcanzado a marcas como Adidas, Qantas, Allianz Life y LVMH (Louis Vuitton, Dior, Tiffany & Co), entre otras.
Análisis experto: por qué la ofensiva erosiona la seguridad SaaS
El robo de tokens OAuth y refresh es especialmente grave porque elude contraseñas y MFA, otorgando acceso sostenido a APIs y datos. Las CRM como Salesforce consolidan perfiles de contacto, historiales y artefactos de configuración que facilitan phishing dirigido, BEC y movimiento lateral hacia aplicaciones conectadas (por ejemplo, Slack o Google Workspace) cuando los scopes son amplios. Este caso ilustra el riesgo de las integraciones sobreprivilegiadas y la exposición de la cadena de suministro SaaS, donde el eslabón débil no es el núcleo de TI sino las Connected Apps de terceros.
Medidas recomendadas para Salesforce y entornos SaaS
- Revocar y rotar tokens OAuth/refresh vinculados a Drift y otras apps; pausar integraciones sospechosas.
- Revisar scopes y aplicar principio de mínimo privilegio en todas las Connected Apps.
- Auditar Event Monitoring y API Audit Trail de Salesforce por anomalías desde el 8 al 18 de agosto de 2025 y periodos posteriores.
- Restringir acceso por IP, reforzar MFA, acotar sesiones y usar tokens de corta vida con aprovisionamiento just-in-time.
- Sanear tickets de soporte y activar DLP para eliminar secretos de comentarios y adjuntos.
- Rotar cualquier credencial compartida vía soporte y notificar proactivamente a clientes y socios.
- Desplegar SSPM/CASB para supervisión continua de configuración y detección de integraciones de alto riesgo.
Este incidente confirma que la resiliencia de la nube empresarial depende de gobernar estrictamente las integraciones. Es el momento de inventariar aplicaciones de terceros, recortar permisos, automatizar la gestión de tokens y formar a los equipos frente a campañas de phishing dirigidas. Una estrategia de auditorías periódicas y rotación proactiva de secretos reduce de forma significativa el impacto de ataques similares y fortalece la postura de seguridad SaaS.
