Salesforce ha comunicado a sus clientes que no negociará ni pagará rescates a la coalición criminal que asegura haber robado datos de múltiples instancias de su plataforma. De acuerdo con Bloomberg, los atacantes amenazan con divulgar la información y han publicado un “listado de víctimas” con 39 organizaciones globales. La decisión de no pagar, aunque alineada con mejores prácticas, exige una respuesta técnica y legal acelerada por parte de todos los afectados.
Salesforce rechaza negociar: cronograma y señal de presión
El grupo identificado como Scattered Lapsus$ Hunters —una alianza con vínculos a Scattered Spider, LAPSUS$ y ShinyHunters— abrió un sitio de filtraciones con muestras de datos y un ultimátum para contactar antes del 10 de octubre de 2025. Además, exigió a Salesforce un pago para “congelar” la publicación de lo que calculan como hasta 1.000 millones de registros de datos personales. Medios señalan que la compañía descartó cualquier pago.
Según BleepingComputer, la web de los extorsionadores quedó posteriormente inaccesible y el dominio apuntó a nameservers utilizados por el FBI en incautaciones previas. Sin confirmación oficial, el estado de la infraestructura criminal sigue siendo incierto.
Quién está detrás y a quién afecta la campaña
Entre las organizaciones que figuran en los listados aparecen FedEx, Disney/Hulu, Home Depot, Marriott, Google, Cisco, Toyota, así como marcas de retail y lujo (p. ej., Adidas, Cartier, Chanel) y aerolíneas como Air France y KLM. Los atacantes también buscan elevar la presión legal, acusando presuntas infracciones del GDPR y alentando demandas tras eventuales publicaciones.
Tácticas y técnicas: OAuth, ingeniería social y cadena de suministro
Primera ola (finales de 2024): aplicaciones OAuth maliciosas
Las intrusiones iniciales explotaron ingeniería social: suplantando soporte técnico, convencieron a empleados para otorgar consentimiento a aplicaciones OAuth maliciosas dentro de instancias de Salesforce. Una vez concedidos los permisos, los atacantes exfiltraron datos de clientes y pasaron al chantaje. En esta fase se han mencionado marcas como Google, Adidas, Qantas, Allianz Life, casas de LVMH (Louis Vuitton, Dior, Tiffany & Co), Cisco y Chanel.
Segunda ola (agosto de 2025): tokens robados de SalesLoft/Drift
Posteriormente, una campaña apoyada en tokens OAuth comprometidos de SalesLoft/Drift permitió pivotar a CRM y descargar información sensible. El objetivo principal fueron los tickets de soporte, donde con frecuencia se encuentran credenciales, claves API y tokens de autenticación que habilitan intrusiones en infraestructura interna y nubes. Empresas como Zscaler, Proofpoint, Palo Alto Networks, Workiva, PagerDuty, Exclaimer y Cloudflare notificaron impactos o investigación.
Riesgos regulatorios y operativos
La eventual publicación masiva de datos personales expone a multas del GDPR de hasta 20 millones de euros o el 4% del volumen global de negocio, lo que ocurra primero. También eleva el riesgo de litigios, auditorías y pérdidas reputacionales sostenidas. El mayor peligro es el efecto dominó: una filtración en un proveedor SaaS puede propagar accesos y tokens reutilizados a sistemas colindantes, amplificando el daño.
La evidencia sectorial respalda estas dinámicas. El informe Verizon DBIR 2024 indica que el 68% de las brechas involucran el factor humano (phishing, errores, abuso de credenciales), y que las credenciales robadas son uno de los vectores más comunes en intrusiones de aplicaciones en la nube. En ecosistemas ricos en integraciones, el control de consentimiento OAuth y la higiene de secretos en soporte resultan determinantes.
Medidas de mitigación inmediatas y sostenibles
Gobernanza de OAuth: establezca allowlist de aplicaciones externas, aplique mínimos privilegios, active tokens de corta duración con rotación automática, supervise eventos de consentimiento y revoque permisos sospechosos de forma centralizada.
Higiene de tickets y secretos: prohíba almacenar contraseñas, claves y tokens en solicitudes de soporte. Implemente gestores de secretos y DLP para detectar y bloquear material sensible en tickets y adjuntos.
Defensa contra ingeniería social: formación continua, verificación por canales alternativos de cualquier petición de soporte, protección contra fatiga de MFA y flujos rigurosos para aprobar aplicaciones de terceros.
Observabilidad y respuesta: correlacione inicios de sesión y accesos API, detecte anomalías geográficas o de comportamiento, disponga de playbooks para revocar tokens a gran escala y forzar cierres de sesión, y prepare planes de notificación, legales y de comunicación ante divulgaciones.
Rechazar el pago del rescate reduce incentivos criminales, pero exige preparación técnica, legal y comunicacional. Es el momento de auditar permisos OAuth, limpiar secretos en procesos de soporte, endurecer integraciones con terceros y ensayar la respuesta a incidentes. La rapidez en cerrar estos vectores no solo limita el daño actual, sino que eleva la ciberresiliencia frente a futuras campañas.
