Una serie de ataques dirigida a integraciones de Drift ha derivado en acceso no autorizado a datos alojados en Salesforce y Google Workspace. Según Google Threat Intelligence (Mandiant), los atacantes robaron tokens OAuth y refresh empleados por Drift, con actividad confirmada entre el 8 y el 18 de agosto de 2025. El alcance es mayor de lo estimado inicialmente y trasciende los entornos CRM, elevando el riesgo para múltiples conectores empresariales.
Vector de ataque, cronología y alcance de la filtración
La integración de Drift con Salesforce (utilizada para sincronizar conversaciones, leads y tickets) fue el objetivo principal. El vector explotado fue la autenticación OAuth: los atacantes obtuvieron tokens de cliente de Drift utilizados en Salesforce y los reutilizaron para extraer información. De acuerdo con Salesloft, la motivación operativa se centró en la exfiltración de secretos (credenciales de AWS, contraseñas y tokens, incluidos los de Snowflake). Salesforce y los proveedores afectados revocaron tokens de acceso y refresh asociados a Drift, y la aplicación fue retirada temporalmente de AppExchange mientras avanza la investigación.
TTP observadas, infraestructura y huellas técnicas
Mandiant atribuye la campaña al grupo UNC6395. Tras obtener acceso a Salesforce, los actores ejecutaron consultas SOQL para localizar y extraer credenciales y secretos almacenados en tickets de soporte, aprovechando la confianza del entorno para desplazamiento lateral. Se registraron intentos de evasión mediante eliminación de trabajos de consulta, si bien los registros permanecen disponibles para análisis forense. La infraestructura maliciosa se ocultó detrás de Tor y proveedores cloud como AWS y DigitalOcean. Indicadores de compromiso recurrentes incluyen User-Agent como python-requests/2.32.4, Python/3.11 aiohttp/3.12.15 y nombres de herramientas personalizadas del tipo Salesforce-Multi-Org-Fetcher/1.0 y Salesforce-CLI/1.0.
Más allá de Salesforce: impacto en Google Workspace y otras integraciones
Google confirmó que tokens OAuth de Drift Email robados se emplearon el 9 de agosto para acceder al correo de un “número reducido” de cuentas de Google Workspace vinculadas con Drift. En consecuencia, la exposición no se limita al binomio Drift–Salesforce y puede afectar a otros conectores. La recomendación de Google es inequívoca: todas las organizaciones que usen Drift deben considerar potencialmente comprometidos los tokens de autenticación almacenados o conectados a la plataforma. Salesforce deshabilitó temporalmente las integraciones de Drift con Salesforce, Slack y Pardot.
Atribución y campañas relacionadas
Mientras Mandiant apunta a UNC6395, el grupo ShinyHunters reivindicó y posteriormente negó su participación en la fase de extracción de datos desde tickets de soporte. En el contexto de incidentes recientes que involucran a Salesforce y la actividad de ShinyHunters, se han visto afectados grandes fabricantes y marcas globales. Se ha reportado además colaboración con Scattered Spider bajo el alias Sp1d3rHunters para el acceso inicial. Este patrón encaja con tendencias del sector donde el uso de credenciales y materiales de autenticación robados continúa entre las principales causas de intrusión, como subrayan informes como el Verizon DBIR, y con casos notables de abuso de tokens en la nube (por ejemplo, incidentes investigados por Microsoft en 2023).
Riesgos sistémicos: OAuth y secretos fuera del gestor corporativo
La técnica empleada se alinea con MITRE ATT&CK T1550 (Use of Alternate Authentication Material): la reutilización de tokens válidos permite eludir controles de contraseña y MFA. Un riesgo agravante es la presencia de secretos en tickets de soporte y registros CRM, donde a menudo quedan fuera del perímetro de gestores de secretos y de políticas DLP, habilitando compromisos en cascada entre servicios SaaS.
Medidas de respuesta prioritaria y endurecimiento
1) Presumir la exposición de tokens de Drift: revocar y reemitir todos los tokens OAuth/refresh vinculados a Drift en Salesforce, Google Workspace, Slack, Pardot y demás. Revisar Connected Apps y políticas OAuth en Salesforce; en Google Workspace, validar App Access Control y auditorías de tokens OAuth.
2) Rotación de secretos y cierre de vectores laterales: rotar claves IAM de AWS, contraseñas y tokens de Snowflake y otros SaaS; aplicar principio de mínimo privilegio a permisos otorgados a Drift.
3) Análisis de registros e IoC: buscar consultas SOQL inusuales, exportaciones masivas, eliminación de trabajos de consulta; accesos anómalos desde Tor/AWS/DigitalOcean; User-Agent indicados y actividad en la ventana 8–18 de agosto de 2025.
4) Higiene de secretos y DLP: prohibir el volcado de claves y tokens en tickets y campos CRM; activar detección y enmascaramiento automático; migrar secretos a bóvedas dedicadas.
5) Control reforzado de OAuth: reducir la vida de refresh tokens, vigilar grants inactivos, restringir por rangos IP/zona, y exigir reautenticación robusta para operaciones sensibles.
La explotación de tokens OAuth y la presencia de “secretos sombra” confirman un riesgo estructural en ecosistemas cloud. Actuar con celeridad —revocar tokens, rotar secretos, mejorar DLP y acotar permisos— reduce drásticamente la superficie de ataque y corta la propagación. Mantener una disciplina continua en gestión de identidades y secretos es clave para evitar que el próximo salto lateral sea el suyo.
