Lecciones de la exposición de Drift en Salesloft: qué sucedió, su impacto y cómo Cyera puede ayudar

Esta semana, investigadores de seguridad revelaron un incidente significativo que involucra integraciones de Salesloft Drift. Actores maliciosos explotaron tokens de OAuth vinculados a Salesloft, obteniendo acceso no autorizado a aplicaciones conectadas, incluida Salesforce.

El ataque se vinculó a un grupo llamado ShinyHunters, conocido por haber apuntado a empresas de alto perfil en el pasado.

Si bien Salesforce en sí no fue la fuente de la vulneración, las integraciones a través de Salesloft abrieron nuevas vías para que los atacantes buscaran secretos y credenciales dentro de los entornos de los clientes.

El incidente subraya una realidad más amplia: cuanto más interconectadas se vuelven las aplicaciones SaaS, más crítico es comprender dónde residen los datos y credenciales sensibles, quién puede acceder a ellos y cómo los atacantes podrían explotar esas vías.

¿Qué sabemos que ocurrió?

Todo empezó con una sola puerta entreabierta. Salesloft Drift, una plataforma de participación de ventas muy utilizada, se convirtió en el objetivo cuando los atacantes encontraron una forma de explotar los tokens de OAuth: esas llaves invisibles que mantienen las integraciones funcionando silenciosamente en segundo plano. Con esos tokens en su poder, los atacantes no necesitaron contraseñas ni solicitudes de MFA; de pronto tuvieron una forma de entrar a entornos de confianza.

Desde ahí, el compromiso se propagó hacia afuera. Como Salesloft estaba conectada a otras plataformas SaaS críticas, incluidas Salesforce, Google Workspace y Outlook, los atacantes obtuvieron acceso a un ecosistema digital mucho más amplio. No solo buscaban registros de clientes o correos electrónicos: los reportes indican que estaban buscando específicamente secretos y credenciales incrustados en los datos de los clientes. Con eso, podían desbloquear aún más sistemas río abajo.

• La exposición se originó en Salesloft Drift, donde tokens OAuth comprometidos otorgaron a los atacantes acceso no autorizado.
  
• Salesforce estuvo entre las integraciones afectadas, no el origen de la vulneración sino una posible vía para los atacantes.
  
• Google emitió advertencias a 2.5 mil millones de usuarios de Gmail, lo que subraya la escala global y la urgencia del incidente.

¿Cuál es el impacto?

Los efectos en cadena de este incidente muestran lo frágiles que pueden ser los ecosistemas de SaaS interconectados. Imagina un solo eslabón débil en una cadena: una pequeña vulneración en Salesloft Drift se expandió de inmediato a los sistemas con los que tuvo contacto. De repente, los entornos de Salesforce —hogar de datos sensibles de clientes— e incluso las bandejas de entrada de Gmail formaban parte del radio de impacto.

La amenaza no se limitó a los registros robados. Según informes, los atacantes estaban rastreando los entornos para encontrar secretos —como claves de API, tokens o credenciales— escondidos dentro de objetos de Salesforce o registros de clientes. Una vez descubiertos, estos secretos podrían convertirse en armas para infiltrarse en aún más sistemas. Para las organizaciones, eso significa que la exposición no termina con una sola plataforma; se propaga como un contagio a través de cada integración.

• Mayor exposición mediante integraciones: Un compromiso en Salesloft Drift rápidamente se extendió a Salesforce, Google Workspace y Outlook.
  
• Secretos como objetivo: Los atacantes se enfocaron en encontrar credenciales integradas que pudieran usar para ataques posteriores.
  
• Riesgos de Cumplimiento y Confianza: Incluso cuando la falla inicial recae en un tercero, las organizaciones son responsables por los datos sensibles expuestos y enfrentan consecuencias reputacionales y regulatorias.

‍¿Cómo pasó esto?

La vulneración no comenzó con nombres de usuario robados ni contraseñas descifradas; empezó con los tokens en los que confiamos para que el SaaS moderno funcione sin fricciones. Los tokens de OAuth están pensados para simplificar nuestra vida digital, pasando silenciosamente entre aplicaciones para mantener las integraciones fluidas y seguras. Pero en las manos equivocadas, esos mismos tokens se convierten en una llave maestra.

En el caso de Salesloft y Drift, los atacantes pudieron abusar de esos tokens, otorgándose el mismo nivel de acceso que los usuarios legítimos. Una vez dentro, no se detuvieron en Salesloft. Como agua que fluye cuesta abajo, los atacantes siguieron las conexiones naturales entre aplicaciones. Salesforce era una de ellas: no el origen del problema, pero sí un objetivo valioso por los datos sensibles que contiene.

El verdadero desafío para las organizaciones es que pocos equipos tienen visibilidad de cómo estas integraciones mueven los datos. Secretos almacenados en objetos de Salesforce, credenciales incrustadas en notas o claves de API pasadas por alto pueden convertirse en trampolines en manos de un atacante. Y como los controles de identidad suelen confiar en los tokens de OAuth, estos movimientos a menudo pasan desapercibidos.

• Explotación de tokens OAuth: Los atacantes eludieron los métodos de inicio de sesión tradicionales al abusar de tokens OAuth, lo que les proporcionó acceso persistente sin interacción del usuario.
  
• La integración como vía de ataque: Salesloft Drift fue el punto de entrada inicial, pero los atacantes rápidamente aprovecharon integraciones conectadas como Salesforce y Google Workspace.
  
• Puntos ciegos en la visibilidad de datos: La mayoría de las organizaciones no podían ver dónde se almacenaban los datos sensibles o los secretos, lo que dejaba puntos ciegos explotables.
  
• Límites de los controles de IAM: Las herramientas de gestión de identidad y acceso no fueron suficientes: confiaron en los tokens y pasaron por alto los movimientos de datos anómalos que crearon los atacantes.

¿Qué deben hacer las organizaciones para evitar estos riesgos?

La propia Salesforce ha enfatizado que, si bien las integraciones hacen que las plataformas SaaS sean poderosas, también amplían la superficie de ataque. Para mitigar riesgos como los destacados en la exposición de Salesloft Drift, las organizaciones deberían:

Para reducir la probabilidad de incidentes similares, los equipos de seguridad deberían:

• Elimina los secretos de los registros SaaS: las contraseñas, claves de API y credenciales nunca deben vivir en campos de Salesforce.
  
• Audita periódicamente las integraciones de OAuth: elimina las apps que no uses o que parezcan sospechosas.
  
• Limita los alcances al mínimo necesario: asegúrate de que las apps OAuth solo accedan a lo que necesitan.
  
• Rotar tokens de forma agresiva: los tokens de corta duración limitan la persistencia de los atacantes.
  
• Sepa todo lo que pueden acceder terceros: aplique los principios de Data Security Posture Management (DSPM) para entender exactamente qué proveedores, integraciones y aplicaciones tienen acceso a datos sensibles.
  
• Supervisa los flujos de datos en tiempo real: aprovecha las técnicas de Prevención de Pérdida de Datos (DLP) para detectar movimientos anómalos de datos sensibles a través de integraciones.
  
• Eduque a los empleados sobre el vishing y las estafas de autorización de aplicaciones: la confianza humana sigue siendo un vector de ataque clave.

Cómo Cyera puede ayudar

Incidentes como la exposición de Salesloft Drift nos recuerdan una dura verdad: los atacantes no solo van tras los objetivos obvios; buscan los pequeños descuidos: los secretos que quedan en registros, los tokens que nadie pensó revisar, las integraciones que silenciosamente amplían el acceso mucho más allá de lo esperado. Defenderse de eso requiere visibilidad, no solo control.

Cyera ayuda a las organizaciones a poner estas prácticas en acción al brindar a los equipos de seguridad la visibilidad y el conocimiento que a menudo les faltan:

• Identificar secretos y credenciales
  Cyera analiza los entornos de Salesforce para detectar secretos, contraseñas o claves de API ocultas en registros donde no deberían existir, lo que permite a los equipos eliminarlas antes de que los atacantes las exploten.
  
• Crea un mapa de acceso
  Cyera muestra quién y qué integraciones pueden acceder a datos sensibles de Salesforce, ayudando a los equipos a detectar accesos excesivos o inesperados.
  
• Identificar riesgos de intercambio excesivamente permisivo
  Cyera destaca los datos que están compartidos de forma demasiado amplia —entre usuarios, grupos o aplicaciones de terceros— para que las organizaciones puedan reforzar los controles.
  
• Habilitar remediación informada
  Con esta visibilidad, los equipos no solo pueden reaccionar más rápido ante un incidente, sino también reducir proactivamente la exposición, asegurando que los datos sensibles estén mejor protegidos antes de que ocurra una violación.

En lugar de reemplazar los controles de identidad o integración, Cyera proporciona la visibilidad y el contexto centrados en los datos que hacen que esas prácticas de seguridad sean accionables. El resultado es un entorno de Salesforce más sólido y resiliente, donde se eliminan los secretos, el acceso se ajusta al tamaño adecuado y los riesgos son más fáciles de gestionar.

Si se comprometiera una integración como Salesloft Drift, contar con esta visibilidad no evitaría la exposición inicial, pero marcaría una diferencia significativa al limitar su impacto. Los equipos de seguridad ya sabrían dónde reside la información de alto valor, si hay secretos presentes y cómo las integraciones están utilizando esos datos. Ese tipo de conocimiento convierte una carrera a ciegas en una respuesta informada.

Algunas de las formas en que Cyera ayuda a las organizaciones a fortalecer su resiliencia incluyen:

• Iluminando los riesgos ocultos: Identificar “secretos”, credenciales y datos sensibles dentro de los objetos de Salesforce que los atacantes podrían apuntar.

• Conciencia contextual de integraciones: Resaltar qué aplicaciones de terceros (como Drift) tienen acceso a datos sensibles, para que los equipos puedan evaluar el riesgo adecuadamente.

Al ofrecer a los equipos de seguridad una visión clara de sus entornos de Salesforce —dónde vive la información sensible, quién tiene acceso y cómo se comparte— ayudamos a las organizaciones a reducir el riesgo, minimizar el radio de impacto y responder con claridad cuando algo sale mal.‍

Conclusión

La exposición de Salesloft Drift no se trata solo de un proveedor o una plataforma. Es un recordatorio de lo profundamente interconectados que están los ecosistemas de SaaS, y de cómo los atacantes explotarán cada vez más esas conexiones para encontrar secretos y credenciales que les permitan obtener más acceso.

Con Cyera, las organizaciones obtienen la capacidad de visualizar y proteger datos sensibles dentro de Salesforce, sus integraciones y aplicaciones similares. Esa visibilidad garantiza que, incluso si se ve comprometido un servicio externo, el radio de impacto se reduzca, lo que ayuda a los equipos de seguridad a responder con claridad y confianza.