A mediados de agosto de 2025, se reportó la brecha de seguridad de Salesloft Drift, que afectó a gigantes como Palo Alto Networks, Salesforce, Cloudflare y sus clientes. Los atacantes robaron y abusaron de cientos de tokens OAuth para acceder a entornos de Salesforce y extraer datos confidenciales, con consecuencias probadas y potenciales a gran escala.
Al leer los informes, me resistí a clasificarlo como otro "ataque a la cadena de suministro". Este ataque fue diferente.
Estaba relacionado con robo de identidades no humanas y una violación de la confianza con un movimiento lateral TTP con esteroides, también conocido como movimiento lateral de proveedor cruzado. Fue un ataque entre empresas. O, dicho de forma mucho más científica, un... (B2)ⁿ AtaqueEsta cadena de confianza rota hace que sea muy difícil para las víctimas del ataque protegerse.
Piénsalo: Agresor → Deriva → Salesloft → Salesforce → El cliente → Cliente del cliente.
Cada salto ampliaba la superficie de ataque y, una vez más, fichas de OAuth Cuando fueron robados, los atacantes contaban con una ruta de acceso confiable a través de cada proveedor. El impacto comprobado ya incluye cientos de organizaciones afectadas, registros de casos robados y más de 100 tokens de API expuestos, con el potencial de una vulneración mucho mayor a medida que los adversarios extraen esos datos para obtener claves en la nube y otras credenciales.
Las grandes organizaciones mantienen miles de alianzas e integraciones, y carecen de un modelo de integración seguro. Esta cadena de integración genera una relación más allá de la individual. Entonces, ¿cómo podemos prevenir, detectar o responder con mayor rapidez a este tipo de ataques y protegernos del efecto dominó?
Obviamente, esto también plantea una pregunta más amplia: ¿necesitamos impulsar una modelo de seguridad compartida para proveedores de SaaS, no solo para gigantes de la infraestructura en la nube como AWS, Microsoft y Google Cloud, ¿quienes hicieron llamados similares en 2020? En este artículo, explicaré dónde radica el verdadero problema y cómo tanto los proveedores como los CISO pueden crear un marco de responsabilidad compartida que tenga en cuenta todas las dependencias y, en última instancia, reduzca riesgo de movimiento lateral.
¿Te parece interesante? Sigue leyendo. Si te resulta útil, me encantaría saber tu opinión.
Más detalles de la infracción
Según diferentes fuentes (mencionadas a continuación), en agosto de 2025, atacantes identificados como UNC6395 robaron tokens de actualización de OAuth de la integración de Drift de Salesloft con Salesforce. Estos tokens permitieron a Drift consultar instancias de Salesforce en nombre de más de 700 clientes. Una vez dentro, los atacantes exportaron datos de contacto, registros de casos e incluso claves API integradas en tickets o archivos adjuntos.
Entre las empresas afectadas se encontraban firmas de alto perfil como Cloudflare, Proofpoint y Palo Alto Networks. Cloudflare reveló que 104 tokens de API y datos confidenciales de casos se vieron comprometidos. Salesforce y Salesloft respondieron revocando los tokens de Drift y eliminando la aplicación de AppExchange. Los clientes finales también desactivaron esta integración como contramedida. Para algunos, ya era demasiado tarde, pues sus datos, incluidos los secretos de acceso, ya se habían filtrado.
Análisis posteriores revelaron que los atacantes tenían acceso a los repositorios de GitHub de Salesloft, lo que permitió un reconocimiento más profundo y posiblemente facilitó el robo de tokens. Google también reportó un abuso limitado de los tokens OAuth de Drift Email en entornos de Google Workspace. Peor aún, los atacantes buscaron claves de AWS, tokens de Snowflake y otras credenciales en los datos robados, lo que multiplicó el impacto potencial.
Si bien muchas publicaciones y artículos de las últimas semanas sugieren que este ciberataque fue una filtración de datos tradicional, una explotación de SaaS o incluso la vulneración de un agente de IA, este incidente es diferente. Es un ejemplo claro de... AMI La complejidad, o dicho de otro modo, el completo caos de IAM (no malla) al que nos enfrentamos todos en la era del SaaS, la IA y la explosión de identidades no humanas (NHI). El chatbot Drift es una aplicación de software diseñada para automatizar conversaciones, por lo que no actúa con autonomía ni toma de decisiones independiente. En cambio, opera dentro de flujos de trabajo e integraciones predefinidos. El OAuth utilizado para la integración es una NHI (identidad no humana).
lo que podemos aprender
Nosotros, como clientes, no estamos preparados para protegernos contra (B2)ⁿAtaques del NHI
No es fácil responder a la pregunta básica de "¿Cuáles de nuestros proveedores se vieron afectados?" y "¿Qué datos y acceso tenían en Salesforce sobre nosotros?" Este tipo de movimiento lateral Los ataques que descubren la interconexión de nuestros sistemas digitales ponen de relieve que es más difícil de lo que pensamos detener a los piratas informáticos, porque a menudo somos los últimos en darnos cuenta del impacto a lo largo de la cadena alimentaria.
El riesgo B2B2B es real y necesitamos un modelo de responsabilidad compartida
No se trataba solo de Drift → Salesforce → clientes. Se trataba de Drift → Salesforce → datos SaaS de clientes → servicios en la nube. Cada salto ampliaba el radio de acción. Los proveedores deben rendir cuentas por los proveedores de sus proveedores.
Los tokens son identidades y deben gestionarse como tales, independientemente de la distancia B2B
Los tokens OAuth no son solo un "pegamento técnico". Son identidades no humanas que deben tratarse con el mismo rigor que las cuentas humanas: de corta duración, con alcance limitado, rotadas y monitorizadas. Son identidades que todos (incluidos los atacantes) pueden asumir si no se protegen adecuadamente.
Tus secretos y credenciales también viven en los datos: no solo los tuyos, sino también los de tus socios.
Las notas de casos y los archivos adjuntos suelen contener claves o configuraciones confidenciales. Una vez vulnerados, los CRM y los sistemas de soporte se convierten en una mina de oro para las credenciales. Escanear y ocultar secretos en los datos SaaS debe convertirse en una práctica habitual.
Los interruptores de seguridad centralizados son importantes
La capacidad de Salesforce para revocar tokens Drift globalmente contribuyó a contener la propagación. Todas las plataformas deberían tener la capacidad de habilitar la revocación de emergencia a gran escala.
Más allá de la cadena de suministro: Comprensión (B2)ⁿ
Resulta tentador categorizar esto simplemente como un ataque a la cadena de suministro o un riesgo de terceros. Sin embargo, este enfoque es demasiado amplio y oculta la mecánica específica del problema.
Lo que vimos aquí se acerca más a un ataque cruzado (B2)ⁿ, una forma de movimiento lateral entre proveedores.
En esencia, se ve así:
- Un cliente, por ejemplo, Palo Alto Networks, utiliza una plataforma SaaS, como Salesforce.
- Para aumentar el valor, Palo Alto Networks conecta 3rd Aplicación para fiestas: Salesloft para Salesforce.
- Salesloft adquiere Drift, que poseía tokens OAuth que otorgaban acceso de Saleloft a Salesforce en nombre de Palo Alto Networks.
- Si los datos de Salesforce de Palo Alto Networks contienen secretos integrados (como claves API), los atacantes que violen Drift pueden explotar los datos de Salesforce para llegar más lejos en el entorno de otro proveedor.
Esto es confianza federada, así como confianza implícita, que se convierte en riesgo federado. Cada integración parece benigna por sí sola, pero al encadenarse, crea una ruta de ataque a través de múltiples organizaciones. De ahí la idea de (B2)ⁿ: vínculos entre empresas multiplicados, lo que agrava la exposición.
Construyendo un modelo de responsabilidad compartida para (B2)ⁿ Integraciones SaaS
En la siguiente tabla, verá dónde cada parte de la cadena asume la responsabilidad de prevenir ataques de movimiento lateral entre proveedores:
El camino a seguir a través de la responsabilidad compartida
Hasta que se llegue a un acuerdo mutuo sobre un nuevo modelo de seguridad compartida, por cada integración o token/clave/certificado/identidad creado para un tercero o cuarto proveedor, los CISO y los líderes de IAM deberían exigir a sus proveedores que les proporcionen algún tipo de visibilidad del ciclo de vida del token, el volumen de uso, la monitorización básica de anomalías en su uso, etc. Como mínimo, es fundamental colaborar con los proveedores para confirmar la disponibilidad de un interruptor de seguridad o un botón de actualización.
Y para los propios proveedores, asegurémonos de empoderar a nuestros socios de integración y clientes finales con esta visibilidad y, como parte del muro de pago, parte de los paquetes básicos.
Referencias
Grupo de análisis de amenazas de Google: actualizaciones de UNC6395
https://cloud.google.com/blog/topics/threat-intelligence/unc6395-drift-attack
Aviso de Salesforce sobre la eliminación de la aplicación Drift
https://help.salesforce.com/s/articleView?id=005134951&language=en_US&type=1
Análisis de la Unidad 42 de Palo Alto Networks
https://unit42.paloaltonetworks.com/threat-brief-compromised-salesforce-instances/
Divulgación de Cloudflare sobre tokens comprometidos
https://blog.cloudflare.com/response-to-salesloft-drift-incident/
Investigación de Mandiant sobre el compromiso de GitHub de Salesloft –
https://cloud.google.com/blog/topics/threat-intelligence/data-theft-salesforce-instances-via-salesloft-drift
