Cibersecurity.io

Palo Alto Networks confirma brecha de seguridad

Cibersecurity.io

Palo Alto Networks ha confirmado que fue víctima de un ataque a la cadena de suministro, lo que resultó en el robo de datos de clientes desde sus instancias de Salesforce. La brecha se originó en una aplicación de terceros comprometida, Drift de Salesloft, y no afectó a ninguno de los productos o servicios propios de Palo Alto Networks, que según la compañía siguen siendo seguros.

La firma de ciberseguridad anunció que, en cuanto tuvo conocimiento del incidente, desconectó al proveedor de su entorno Salesforce y lanzó una investigación completa liderada por su equipo de seguridad Unit 42.

Los datos expuestos consisten principalmente en información de contacto empresarial, detalles internos de cuentas de ventas y datos básicos de casos de clientes. Palo Alto Networks indicó que está contactando a un “número limitado de clientes” cuya información potencialmente más sensible podría haber sido expuesta.

La campaña de robo de datos se llevó a cabo entre el 8 y el 18 de agosto de 2025. Un actor de amenazas, rastreado por el Grupo de Inteligencia de Amenazas de Google como UNC6395, aprovechó tokens de autenticación OAuth comprometidos vinculados a la integración de Drift para acceder de forma no autorizada y exfiltrar grandes volúmenes de datos de entornos corporativos de Salesforce.

Este ataque a la cadena de suministro, originado en la aplicación Drift de Salesloft, también ha afectado a otras grandes empresas tecnológicas, como Zscaler y Google.

Según un informe de Unit 42, los atacantes realizaron una exfiltración masiva de objetos de Salesforce, incluyendo registros de cuentas, contactos, casos y oportunidades. El objetivo principal parece ser la recolección de credenciales; tras robar los datos, los hackers los escanearon en busca de secretos como contraseñas y claves de acceso a otros servicios en la nube, como Amazon Web Services (AWS) y Snowflake, para facilitar ataques posteriores.

Los investigadores señalaron que el actor utilizó herramientas automatizadas en Python para el robo de datos e intentó borrar los registros de consultas para ocultar sus huellas.

El incidente ha provocado una respuesta generalizada en la industria. El 20 de agosto, Salesloft comenzó a notificar a los clientes afectados y, en colaboración con Salesforce, revocó todos los tokens de acceso activos de la aplicación Drift para cortar la conexión. Salesforce también eliminó temporalmente la app de su marketplace AppExchange.

Análisis posteriores de Google revelaron que el alcance de la brecha era mayor de lo que se pensaba inicialmente, comprometiendo potencialmente todos los tokens de autenticación conectados a la plataforma Drift, no solo los integrados con Salesforce.

Unit 42 de Palo Alto Networks ha instado a todas las organizaciones que utilizan la integración de Drift a actuar con urgencia. Las recomendaciones incluyen revisar minuciosamente los registros de Salesforce en busca de actividad sospechosa, especialmente cadenas de agente de usuario asociadas con las herramientas del atacante (Python/3.11 aiohttp/3.12.15), y rotar inmediatamente cualquier credencial o secreto que pudiera haber estado almacenado en los datos comprometidos.

El equipo de seguridad también advirtió a las organizaciones afectadas que estén alerta ante posibles intentos de ingeniería social posteriores y que refuercen su seguridad aplicando principios de Zero Trust.

Ataque a la cadena de suministro con Drift de Salesloft

En agosto de 2025, una campaña masiva de robo de datos abusó de tokens OAuth comprometidos vinculados a Drift, una aplicación popular de chatbot con IA y herramienta de interacción con clientes. Un actor de amenazas, rastreado por Google como UNC6395, utilizó estos tokens para acceder de forma no autorizada a entornos Salesforce de cientos de organizaciones entre el 8 y el 18 de agosto.

El objetivo principal fue la recolección de credenciales. Los atacantes exfiltraron datos masivos de objetos de Salesforce —incluyendo cuentas de clientes, contactos y oportunidades de ventas— y luego escanearon la información robada en busca de secretos valiosos como claves de acceso a AWS, contraseñas y tokens de Snowflake para facilitar intrusiones más profundas en las redes.

Víctimas confirmadas de este ataque:

  • Palo Alto Networks: Confirmó la exposición de información de contacto empresarial y datos internos de ventas desde su plataforma CRM.
  • Zscaler: Informó que se accedió a información de clientes, incluidos nombres, datos de contacto y contenido de algunos casos de soporte.
  • Google: Además de participar en la investigación, confirmó que un “número muy reducido” de cuentas de Workspace fueron accedidas mediante los tokens comprometidos.

En respuesta, Salesloft y Salesforce colaboraron para revocar todos los tokens activos de integración con Drift y eliminar temporalmente la app del AppExchange de Salesforce para contener la amenaza.

Campaña de ingeniería social en Salesforce por “ShinyHunters”

Paralelamente al incidente de Salesloft, se está desarrollando una campaña más amplia atribuida al grupo “ShinyHunters” (también conocido como UNC6040). Desde mediados de 2025, este grupo ha logrado vulnerar numerosas grandes corporaciones mediante tácticas sofisticadas de phishing por voz, o “vishing”.

En estos ataques, los actores de amenazas se hacen pasar por personal de soporte técnico en llamadas telefónicas para engañar a los empleados y lograr que les concedan acceso a la instancia de Salesforce de la empresa, a menudo mediante la autorización de una “Aplicación Conectada” maliciosa.

Algunas víctimas de esta campaña incluyen:

  • Google: En junio de 2025, el grupo accedió a un sistema de Salesforce que contenía información de clientes potenciales de Google Ads.
  • Grandes marcas: Gigantes del lujo y retail como LVMH (Louis Vuitton, Dior), Chanel y Adidas fueron atacados.
  • Finanzas y seguros: Empresas como Allianz Life, Farmers Insurance y, más recientemente, TransUnion han reportado brechas vinculadas a esta campaña. El incidente de TransUnion afectó a 4,4 millones de consumidores en EE. UU.

Recomendaciones adicionales para reforzar la seguridad

Además de las medidas propuestas por Palo Alto Networks y Unit 42, se recomienda implementar las siguientes acciones para mitigar el impacto de amenazas similares:

  • Exigir autenticación multifactor (MFA), especialmente para administradores de sistemas y cuentas con privilegios elevados en entornos como Azure o Salesforce.
  • Controlar las aplicaciones OAuth mediante políticas que limiten el acceso a apps no verificadas o no registradas en el entorno corporativo.
  • Utilizar identidades gestionadas en servicios como Azure para evitar el uso de credenciales manuales por parte de desarrolladores.
  • Auditar permisos y accesos concedidos a aplicaciones para garantizar que se respeten los principios de mínimo privilegio.
  • Activar políticas de acceso condicional, evaluadas en cada intento de inicio de sesión, para bloquear accesos desde ubicaciones no confiables o dispositivos no conformes.
  • Investigar aplicaciones OAuth sospechosas con herramientas de seguridad avanzadas como Microsoft Defender XDR, que permite interrumpir automáticamente ataques en fases tempranas.
  • Configurar políticas de riesgo de inicio de sesión, que bloqueen o requieran MFA en función del nivel de riesgo detectado.

Noticia oficial de Palo Alto

Más detalles técnicos en Unit 42 de Palo Alto

Noticia original en inglés

IOCs proporcionados por Salesforce

Etiquetas:

, , , , ,

Fecha:

A continuación:

Antes: