Las aplicaciones OAuth han surgido como un vector de ataque destacado para los adversarios y presentan nuevos riesgos que muchas organizaciones pasan por alto, porque a veces los empleados establecen conexiones de aplicación a aplicación sin una evaluación rigurosa y porque los tokens OAuth usados por aplicaciones en la nube pueden ser robados o filtrados de diversas maneras.
Se ha observado una campaña continua de incidentes de seguridad en múltiples grandes empresas, con acceso no autorizado a los sistemas CRM de Salesforce de la organización utilizando aplicaciones OAuth, lo que ha resultado en fugas y exfiltración de datos. Esto subraya tanto el ritmo creciente de los ataques en la nube como la importancia de reforzar la seguridad en aplicaciones SaaS. Como respuesta, Salesforce ha comenzado a forzar políticas mejoradas de bloqueo de apps OAuth.
Parte de esta actividad se ha atribuido al grupo de amenazas denominado públicamente como ShinyHunters, que provocó brechas en múltiples empresas globales. Estos incidentes demuestran cómo pueden ser aprovechadas las confianzas OAuth: los atacantes usan ataques basados en OAuth porque permiten evadir los controles clásicos centrados en dispositivos, son difíciles de detectar y facilitan el acceso directo a sistemas críticos como CRM y de soporte, lo que a menudo permite a los atacantes extraer tokens adicionales para otras aplicaciones SaaS y así moverse lateralmente.
Según la información y la inteligencia observada hasta ahora, hay dos campañas recientes, ambas enfocadas en atacar instancias de Salesforce en grandes organizaciones, aunque con distintos métodos de intrusión. La primera ola (divulgada en junio 2025) se basa en ingeniería social y vishing para abusar de permisos mediante una versión modificada de la aplicación Salesforce Data Loader. La segunda, más reciente, surgió a finales de agosto 2025 y parece originarse a raíz de un incidente reportado por el proveedor Salesloft Drift, que involucró su aplicación en la nube integrada con Salesforce.
En esta entrada del blog nos centraremos solo en la primera campaña de ataques OAuth en Salesforce y daremos guía sobre cómo las organizaciones pueden usar Microsoft Defender para protegerse contra esta y otras campañas similares contra SaaS. Específicamente, veremos:
- Desglose de los recientes ataques OAuth a Salesforce explotando una Data Loader modificada.
- Demostración de la detección y descubrimiento de intrusiones con Defender.
- Resumen de las herramientas de investigación para analistas en Defender.
- Acciones de respuesta para contener la amenaza y reforzar la postura de seguridad organizacional.
Descripción del ataque – Phishing por consentimiento OAuth
Este ataque combinó ingeniería social con abuso de OAuth para robar datos y extorsionar a las víctimas. A diferencia de las intrusiones con malware, esta campaña explotó el flujo de autorización OAuth de un servicio SaaS de confianza. Así se desarrolló el ataque y su impacto:
Fase 1: Contacto inicial de vishing
El ataque empieza con una llamada telefónica. Haciéndose pasar por soporte técnico (a veces, supuestamente desde Salesforce), los actores contactan empleados para resolver un “ticket de soporte” o un tema urgente. El objetivo es generar confianza y predisponer a la víctima a seguir instrucciones.
Fase 2: Consentimiento a la app OAuth maliciosa
Una vez ganada la confianza, el atacante guía a la víctima hasta la página de Apps Conectadas de Salesforce e indica introducir un “código de conexión” especial. Sin que el usuario lo sepa, corresponde a una app OAuth maliciosa, controlada por los atacantes: una versión manipulada de Salesforce Data Loader. Al otorgar consentimiento, la víctima entrega acceso OAuth a los datos de Salesforce.
Fase 3: Exfiltración de datos y movimiento lateral
Tras lograr el token refresh OAuth, los atacantes lo usan para consultar y descargar grandes volúmenes de datos CRM de Salesforce (información de clientes, tickets de soporte, registros de ventas). En algunos casos, la exfiltración empieza en la misma llamada, tan rápido que el equipo de seguridad tarda en advertir el ataque. Todas las peticiones parecen legítimas y autorizadas por una app, ayudando a los atacantes a pasar desapercibidos.
Además, con frecuencia los atacantes obtienen las credenciales y códigos MFA del usuario durante la llamada bajo el pretexto de una “verificación”. Usando estos datos robados (por ejemplo, de Okta), los actores logran un movimiento lateral hacia otras apps SaaS, como acceder a buzones de Office 365, servicios de almacenamiento o Slack, para robar más información y expandir su acceso.
Fase 4: Extorsión y amenazas
Con los datos valiosos en su poder, el atacante pasa a la extorsión. Contactan a la empresa, exigiendo un rescate bajo amenaza de filtrar públicamente la información. Si la víctima no paga, el grupo publica los datos en la web o mercados oscuros. El impacto doble (brecha y filtración pública) coloca a la organización en una posición vulnerable. Según los reportes, se recurre sobre todo al correo electrónico para la extorsión, aunque el riesgo de filtración masiva permanece constante.
Ataque a la cadena de suministro de apps OAuth
Mientras se respondía a los ataques de consentimiento mencionados con Data Loader, grandes empresas informaron después de una nueva oleada de ataques basados en apps OAuth, objetivos en Salesforce. En esta segunda campaña, los actores usaron tokens OAuth comprometidos potencialmente obtenidos de la app Drift de Salesloft, una integración con Salesforce para automatizar flujos de venta, con la que accedieron de forma no autorizada a cientos de entornos Salesforce. Como la investigación sigue en curso, el principal aprendizaje es el inusual repunte en actividades API de Salesforce y anomalías de acceso en las víctimas durante el ataque.
Protección con Defender
Defender proporciona la visibilidad, detección y capacidad de remediación necesarias para proteger tu entorno contra estos ataques furtivos y de alto impacto basados en OAuth.
Descubrimiento de aplicaciones OAuth
La detección temprana es esencial contra ataques OAuth. Defender puede descubrir actividades sospechosas como el registro de aplicaciones OAuth que podrían pasar inadvertidas. En este escenario hubo varias señales sutiles que Defender puede destapar.
Para habilitar la visibilidad, primero conecta la app de Salesforce en Defender navegando a Configuración → Cloud Apps → App connectors y confirma los prerrequisitos (API y Event Monitoring activos). Más detalles en la documentación pública de Defender.
Defender muestra apps OAuth de terceros autorizadas en tu entorno. Así, los administradores pueden ver que una app como “My Ticket Portal” o “Data Loader” (editor “Unknown”) ha sido autorizada y solicita permisos de lectura/escritura de datos.
Usando Defender de manera proactiva, las organizaciones pueden recibir alertas en minutos del consentimiento malicioso, o tan pronto como el atacante empiece a extraer datos anómalos, en lugar de descubrir el ataque días después de grandes pérdidas.
Investigación: Entendiendo el alcance total del ataque
Una vez detectada una OAuth sospechosa, Defender ofrece un conjunto completo de herramientas para investigar el incidente.
- Advanced hunting: permite investigar en profundidad usando consultas avanzadas para explorar datos de toda la organización e identificar actividad maliciosa.
- Auditoría de aplicaciones conectadas en Salesforce: asegurar solo apps de confianza. Una query mostrará apps OAuth de Salesforce con uso sospechoso de API, sugiriendo actividad maliciosa.
CloudAppEvents | where Application == "Salesforce" | where ActionType == "ApiTotalUsage" // Event for REST/SOAP/Bulk API query | extend ConnectedAppName = tostring(RawEventData.CONNECTED_APP_NAME), ConnectedAppId = tostring(RawEventData.CONNECTED_APP_ID), UserName = tostring(RawEventData.USER_NAME) | where isnotempty(ConnectedAppName) | summarize RequestCount=count(), UniqueUsers=dcount(UserName), Users=make_set(UserName) by ConnectedAppName, ConnectedAppId- Registros de actividad en Salesforce: Investigar un pico de llamadas API, como Query o Data Export, iniciadas por la app OAuth.
CloudAppEvents | where Application == "Salesforce" | where ActionType == "ApiTotalUsage" | extend ConnectedAppName = tostring(RawEventData.CONNECTED_APP_NAME), ObjectType = tostring(RawEventData.ENTITY_NAME) | where isnotempty(ConnectedAppName) | summarize RequestCount=count() by bin(Timestamp, 30m), ConnectedAppName, ObjectType | render timechart- Busqueda de IOCs: Buscar IPs o UserAgents maliciosos usados por los actores (por ejemplo, utilizando los compartidos por Salesloft). Una consulta de ejemplo
CloudAppEvents
| where Application == “Salesforce”
| where IPAddress in ("154.41.95.2","176.65.149.100","179.43.159.198","185.130.47.58","185.207.107.130","185.220.101.133","185.220.101.143","185.220.101.164","185.220.101.167","185","220.101.169","185.220.101.180","185.220.101.185","185.220.101.33","192.42.116.179","192.42.116.20","194.15.36.117","195.47.238.178","195.47.238.83","208.68.36.90","44.215.108.109") - text
CloudAppEvents | where Application == "Salesforce" | where IPAddress in ("154.41.95.2","176.65.149.100",...)
Además, se observa un valor como Tor exit node:
| Valor | Tipo | Descripción |
|---|---|---|
| 193[.]36[.]132[.]21 | IPv4 | Nodo de salida Tor |
Si los atacantes también usaron credenciales Okta para acceder a Microsoft 365, se pueden revisar los logs de inicio de sesión en Entra ID o Defender para detectar accesos inusuales justo después del incidente en Salesforce.
- Revisión de alertas relevantes: Buscar alertas llamadas “Posible actividad de scraping en Salesforce” si se registran muchas peticiones API en poco tiempo desde la misma cuenta.
- Creación de reglas de detección personalizadas: Para conductas específicas que se quieran rastrear y detectar futuros ataques OAuth.
Respuesta y remediación
Cuando los atacantes explotan el consentimiento OAuth, la velocidad es crítica. Defender ayuda a los equipos de seguridad a actuar rápido revocando apps maliciosas, conteniendo cuentas comprometidas y guiando en los pasos de remediación en Salesforce.
- Eliminar acceso a la app: En la página de Aplicaciones de Defender puedes banear o revocar permisos de apps OAuth sospechosas (documentación).
- Contener al usuario: Obligar a iniciar sesión de nuevo (invalidar sesión) y, si es necesario, suspender al usuario en Salesforce.
- Remediación manual en Salesforce: Desde la página de administración de Salesforce: Inicio → Administración → Usuarios → OAuth Apps → Revocar.
- Fortalecer Salesforce: Requiere aprobación de administrador para apps críticas conectadas y auditorías regulares. Salesforce ha introducido permisos nuevos como “Aprobar apps conectadas desinstaladas” o el Control de Acceso API.
- Más información sobre cambios inminentes en este artículo de Salesforce y las actualizaciones de Salesloft.
- Enfoque en la formación interna: Crear conciencia sobre la importancia de no dar llaves de autorización por ningún medio, y entender que un registro OAuth equivale, en su potencia lesiva, a entregar la contraseña personal.
Este ataque demuestra una técnica SaaS avanzada basada en OAuth. Sin malware ni exploits, las herramientas clásicas centradas en endpoints o firmas de red ofrecen poca defensa. También indica una tendencia al alza en SaaS, donde adversarios usan nuevos métodos de movimiento lateral, persistencia, evasión y exfiltración de datos, todo ello sin interacción directa con dispositivos.
Defender responde a este reto monitoreando señales entre servicios SaaS, detectando anomalías como actividades OAuth inusuales y permite a los equipos de seguridad investigar y detener rápidamente tales amenazas. Protege identidades humanas y no humanas, aportando visión integral de apps SaaS y capacidades como protección app-to-app, gestión de postura SaaS y protección continua contra amenazas.