Google Alerta a las Organizaciones sobre el Robo de Datos de Salesforce

Las organizaciones que utilizan Salesforce pueden haber sufrido el robo de datos sensibles después de que los hackers vulneraran Salesloft, la plataforma de automatización de ventas detrás de la integración del chat Drift AI.

El Grupo de Inteligencia de Amenazas de Google (GTIG), junto con Salesloft, informaron que el ataque ocurrió entre el 8 y el 18 de agosto de 2025. Los atacantes, identificados como UNC6395, llevaron a cabo la violación utilizando tokens OAuth y de actualización robados de la aplicación Drift, penetrando diversas plataformas de Salesforce.

“Los hallazgos iniciales han mostrado que el objetivo principal del actor era robar credenciales, centrándose específicamente en información sensible como las claves de acceso a AWS, contraseñas y tokens de acceso relacionados con Snowflake”, afirmó un aviso de Salesloft publicado.

Los atacantes ejecutaron sistemáticamente consultas en los objetos de Salesforce, incluyendo Casos, Cuentas, Usuarios y Oportunidades.

GTIG señaló: “UNC6395 demostró conciencia de seguridad operacional al eliminar trabajos de consulta, sin embargo, los registros no se vieron afectados y las organizaciones aún deben revisar los registros relevantes en busca de evidencias de exposición de datos.”

BleepingComputer explica que los atacantes ocultaron su infraestructura a través de Tor, así como con servicios de alojamiento en la nube como AWS y DigitalOcean.

La respuesta de medidas de seguridad por parte de Salesloft y Salesforce incluyó la cancelación de todos los tokens activos de Drift, así como la remoción temporal de la aplicación desde Salesforce AppExchange.

Los clientes necesitan re-autenticar sus cuentas y cambiar sus credenciales de inicio de sesión. Google aconseja a las organizaciones verificar los objetos de Salesforce para las claves de AWS, junto con las credenciales de Snowflake, contraseñas y URLs de inicio de sesión VPN. El personal administrativo también debe implementar el bloqueo de IP, restringir los privilegios de la aplicación y monitorear la actividad de autenticación.

Mientras algunos informes sugerían vínculos con el grupo de extorsión ShinyHunters, Google no ha encontrado pruebas que los conecten. “No hemos visto ninguna evidencia convincente que los conecte en este momento”, dijo Austin Larsen, Analista Principal de Amenazas en GTIG.

BleepingComputer sostiene que el ataque es parte de una ola más amplia de ataques en la que Salesforce es el objetivo a través de ataques de ingeniería social que engañan a los empleados para que autoricen aplicaciones peligrosas.

Organizaciones de alto perfil han informado recientemente sobre violaciones relacionadas, incluyendo a Google, Cisco, Adidas y Louis Vuitton.

Las organizaciones que implementan la integración Drift-Salesforce deben tratar sus datos como comprometidos y ejecutar procedimientos de remediación inmediatos para defender sus sistemas de robos adicionales.