Salesloft anunció la desconexión temporal de su plataforma Drift el 5 de septiembre para facilitar un análisis forense completo, después de detectar una intrusión a la cadena de suministro que derivó en el robo de tokens OAuth y refresh tokens de clientes. La medida busca contener el riesgo, reforzar los controles y restaurar el servicio con garantías.
Panorama del incidente: qué se sabe y por qué importa
El incidente afecta a Salesloft Drift, la solución que integra el chatbot de Drift con CRM y servicios SaaS. Aunque inicialmente se apuntó a una posible exposición vinculada a Salesforce, la investigación confirmó que cualquier plataforma integrada con Drift pudo verse comprometida, incluyendo Google Workspace y otras aplicaciones empresariales.
Cronología, alcance e impacto en organizaciones
De acuerdo con información compartida por Google, la campaña se extendió del 8 al 18 de agosto de 2025 y tuvo un carácter amplio. Estimaciones independientes sugieren que más de 700 organizaciones podrían haberse visto afectadas. Entre las empresas que ya han reconocido impacto figuran Zscaler, Proofpoint, Palo Alto Networks, Workiva, PagerDuty, Exclaimer y Cloudflare.
Vector de ataque: el riesgo real del robo de tokens OAuth
El eje de la intrusión fue la exfiltración de tokens OAuth y refresh tokens asociados a integraciones de Drift. Los tokens OAuth permiten a aplicaciones acceder a datos sin exponer contraseñas, mientras que los refresh tokens renuevan ese acceso. Su robo posibilita que un actor malicioso se haga pasar por la aplicación autorizada, acceda a buzones, CRM y otros datos corporativos, modifique registros y mantenga persistencia sin activar flujos habituales de autenticación.
Atribución y estado de la investigación
Google atribuye la actividad al grupo identificado como UNC6395 (referido como GRUB1 por Cloudflare). El vector de acceso inicial a la infraestructura de Salesloft Drift aún no se ha determinado. Salesloft colabora en la respuesta con equipos de Mandiant y Coalition para acotar el alcance y erradicar la amenaza.
Respuesta de Salesloft y efectos operativos para clientes
La compañía sostiene que la pausa proactiva del servicio es el modo más rápido de reevaluar la seguridad del aplicativo y su entorno. Mientras dure la investigación, el chatbot de Drift permanecerá inactivo en los sitios de clientes y quedarán suspendidas funciones como Drift Fastlane y Drift Email. No se han comunicado plazos para la restauración completa.
Riesgo sistémico en integraciones SaaS a SaaS
El caso subraya la exposición del modelo SaaS a SaaS: integraciones de confianza con permisos amplios pueden convertirse en canales de lateral movement. Sin segmentación de privilegios ni visibilidad sobre dependencias, un acceso indebido puede pasar inadvertido hasta que emergen anomalías en registros o cambios en datos. Incidentes previos —como el compromiso de apps OAuth en GitHub en 2022 o el caso CircleCI en 2023— ilustran que los tokens robados habilitan accesos persistentes y silenciosos si no se rotan y monitorizan adecuadamente.
Recomendaciones priorizadas para equipos de seguridad
1) Revocar y rotar credenciales: anular todos los grants OAuth vinculados a Drift; reemitir refresh tokens y claves de API en Salesforce, Google Workspace y demás integraciones. Exigir re-consent a los usuarios y aplicaciones afectadas.
2) Endurecer políticas de acceso: minimizar scopes, aplicar least privilege, reducir la vida útil de tokens (TTL) y reforzar el acceso condicional basado en riesgo, red y dispositivo.
3) Auditoría de registros: revisar exhaustivamente logs de OAuth, correo, CRM y actividad API para el periodo 8–18 de agosto de 2025 y posterior. Buscar inicios de sesión desde ASN/ubicaciones inusuales, reglas de correo alteradas, creación masiva de objetos y escalaciones de privilegios.
4) Detección y automatización: implementar alertas por emisión de nuevos tokens, picos de llamadas API y concesión de permisos sensibles. Apoyarse en SIEM/UEBA y capacidades CASB para detectar uso anómalo en SaaS.
5) Gestión de terceros: actualizar la evaluación de riesgos de proveedores, exigir transparencia de la cadena de suministro y planes de respuesta. Inventariar integraciones y probar periódicamente los procedimientos de revocación de tokens.
La desconexión de Drift y el robo de tokens OAuth ponen de relieve lo crítico de gobernar permisos y tokens en entornos SaaS. Es recomendable actuar de inmediato: revocar credenciales, reforzar políticas de acceso y ampliar la observabilidad. Aprovechar este episodio para auditar integraciones, reducir superficies de ataque y formar a los equipos ayudará a prevenir intrusiones similares y acelerar la respuesta ante futuros incidentes.
