Lecciones aprendidas de la exposición de Salesloft Drift: qué sucedió, su impacto y cómo Cyera puede ayudar.

Sep 2, 2025
Share

Esta semana, investigadores de seguridad revelaron un incidente significativo que involucra Integraciones de Salesloft DriftLos ciberdelincuentes explotaron los tokens OAuth vinculados a Salesloft, obteniendo acceso no autorizado a las aplicaciones conectadas, incluida Salesforce.

El ataque estuvo vinculado a un grupo llamado Cazadores de variocolor, conocida por haber atacado en el pasado a empresas de alto perfil.

Si bien Salesforce en sí no fue la fuente de la vulneración, las integraciones a través de Salesloft abrieron nuevas vías para que los atacantes buscaran secretos y credenciales dentro de los entornos de los clientes.

El incidente subraya una realidad más amplia: cuanto más interconectadas se vuelven las aplicaciones SaaS, más crítico es comprender dónde se almacenan los datos confidenciales y las credenciales, quién puede acceder a ellos y cómo los atacantes podrían explotar esas vías..

¿Qué sabemos que sucedió?

Todo comenzó con una puerta entreabierta. Salesloft Drift, una plataforma de interacción con clientes muy utilizada, se convirtió en el objetivo cuando los atacantes encontraron una forma de explotar los tokens OAuth: esas claves invisibles que mantienen las integraciones funcionando en segundo plano. Con esos tokens en su poder, los atacantes no necesitaban contraseñas ni solicitudes de autenticación multifactor; de repente, tenían acceso a entornos de confianza.

A partir de ahí, la vulnerabilidad se extendió. Debido a que Salesloft estaba conectado a otras plataformas SaaS críticas, incluidas Salesforce, Google Workspace y Outlook, los atacantes obtuvieron acceso a un ecosistema digital mucho más amplio. No solo buscaban registros de clientes o correos electrónicos, los informes indican que buscaban específicamente secretos y credenciales incrustados en los datos de los clientesCon eso, podrían desbloquear aún más sistemas posteriores.

  • La exposición se originó en Salesloft Driftdonde los tokens OAuth comprometidos otorgaron a los atacantes acceso no autorizado.
  • Salesforce fue una de las integraciones afectadas., no es la fuente de la brecha, sino una vía potencial para los atacantes.
  • Google emitió advertencias a 2.500 millones de usuarios de Gmaillo que subraya la magnitud global y la urgencia del incidente.

¿Cuál es el impacto?

Las repercusiones de este incidente demuestran la fragilidad de los ecosistemas SaaS interconectados. Imaginemos un único eslabón débil en la cadena: una pequeña vulnerabilidad en Salesloft Drift se propagó instantáneamente a los sistemas afectados. De repente, los entornos de Salesforce, donde se almacenan datos confidenciales de clientes, e incluso las bandejas de entrada de Gmail, se vieron afectados.

La amenaza no se limitaba a los registros robados. Según los informes, los atacantes estaban revisando los entornos para encontrar secretos, como claves API, tokens o credenciales, ocultos dentro de objetos de Salesforce o registros de clientes.Estos secretos, una vez descubiertos, podrían utilizarse como arma para infiltrarse en aún más sistemas. Para las organizaciones, esto significa que la exposición no se limita a una sola plataforma, sino que se propaga como un contagio a través de todas las integraciones.

  • Mayor visibilidad a través de integraciones: Un problema de compatibilidad en Salesloft Drift se extendió rápidamente a Salesforce, Google Workspace y Outlook.
  • Los secretos como objetivo: Los atacantes se centraron en encontrar credenciales integradas podrían utilizarlos para futuros ataques.
  • Riesgos de cumplimiento y confianzaIncluso cuando la culpa inicial recae en un tercero, las organizaciones son responsables de los datos confidenciales expuestos y se enfrentan a consecuencias reputacionales y regulatorias.

¿Cómo sucedió esto?

La brecha no comenzó con nombres de usuario robados ni contraseñas descifradas, sino con los tokens en los que confiamos para que el SaaS moderno funcione sin problemas. Los tokens OAuth están diseñados para simplificar nuestra vida digital, pasando silenciosamente entre aplicaciones para mantener integraciones fluidas y seguras. Pero en las manos equivocadas, esos mismos tokens se convierten en una llave maestra.

En el caso de Salesloft Drift, los atacantes pudieron abusar de estos tokens, obteniendo el mismo nivel de acceso que los usuarios legítimos. Una vez dentro, no se detuvieron en Salesloft. Como el agua que fluye cuesta abajo, los atacantes siguieron las conexiones naturales entre las aplicaciones. Salesforce era una de ellas, no el origen del problema, pero sí un objetivo atractivo debido a los datos confidenciales que almacena.

El verdadero desafío para las organizaciones radica en que pocos equipos tienen visibilidad sobre cómo estas integraciones mueven los datos. Los secretos almacenados en objetos de Salesforce, las credenciales incrustadas en notas o las claves API pasadas por alto pueden convertirse en puntos vulnerables para un atacante. Y dado que los controles de identidad suelen confiar en los tokens OAuth, estos movimientos a menudo pasan desapercibidos.

  • Explotación de tokens OAuthLos atacantes eludieron los métodos de inicio de sesión tradicionales abusando de los tokens OAuth, que proporcionaban acceso persistente sin interacción del usuario.
  • La integración como vía de ataqueSalesloft Drift actuó como punto de entrada inicial, pero los atacantes aprovecharon rápidamente las integraciones conectadas como Salesforce y Google Workspace.
  • Puntos ciegos en la visibilidad de los datosLa mayoría de las organizaciones no podían ver dónde se almacenaban los datos confidenciales o los secretos, lo que dejaba puntos ciegos vulnerables.
  • Límites de los controles de IAMLas herramientas de gestión de identidades y accesos no fueron suficientes: confiaron en los tokens y pasaron por alto los movimientos de datos anómalos creados por los atacantes.

¿Qué deben hacer las organizaciones para evitar estos riesgos?

La propia Salesforce ha destacado que, si bien las integraciones hacen que las plataformas SaaS sean potentes, también amplían la superficie de ataque. Para mitigar riesgos como los señalados en la vulnerabilidad Salesloft Drift, las organizaciones deberían:

Para reducir la probabilidad de incidentes similares, los equipos de seguridad deberían:

  • Elimine los secretos de los registros SaaS: las contraseñas, las claves API y las credenciales nunca deben almacenarse en los campos de Salesforce.
  • Realice auditorías periódicas de las integraciones de OAuth: elimine las aplicaciones no utilizadas o sospechosas.
  • Limita el alcance de los tokens al mínimo privilegio: garantiza que las aplicaciones OAuth solo accedan a lo que necesitan.
  • Rotar los tokens de forma agresiva: los tokens de corta duración limitan la persistencia del atacante.
  • Conozca todo a lo que pueden acceder terceros – Aplicar Gestión de la postura de seguridad de los datos (DSPM) principios para comprender exactamente qué proveedores, integraciones y aplicaciones tienen acceso a datos confidenciales.
  • Supervise los flujos de datos en tiempo real: aproveche Prevención de pérdida de datos (DLP) técnicas para detectar movimientos anómalos de datos sensibles a través de integraciones.
  • Capacite a sus empleados sobre las estafas de vishing y autorización de aplicaciones: la confianza humana sigue siendo un vector de ataque clave.

Cómo puede ayudar Cyera

Incidentes como la filtración de Salesloft Drift nos recuerdan una dura realidad: los atacantes no solo buscan objetivos obvios, sino también pequeños descuidos: secretos ocultos en los registros, tokens que nadie revisó, integraciones que amplían silenciosamente el acceso mucho más allá de lo esperado. Defenderse de esto requiere visibilidad, no solo control.

Cyera ayuda a las organizaciones a poner en práctica estas medidas, proporcionando a los equipos de seguridad la visibilidad y la información de la que a menudo carecen:

  • Identificar secretos y credenciales
    Cyera analiza los entornos de Salesforce para detectar secretos, contraseñas o claves de API ocultas en registros donde no deberían estar, lo que permite a los equipos eliminarlas antes de que los atacantes las exploten.
  • Construye un mapa de acceso
    Cyera muestra quién y qué integraciones pueden acceder a los datos confidenciales de Salesforce, lo que ayuda a los equipos a detectar accesos excesivos o inesperados.
  • Riesgos de compartir información de forma excesivamente permisiva en la superficie
    Cyera pone de relieve los datos que se comparten de forma demasiado generalizada (entre usuarios, grupos o aplicaciones de terceros) para que las organizaciones puedan reforzar los controles.
  • Facilitar la remediación informada
    Con esta visibilidad, los equipos no solo pueden reaccionar más rápido en caso de un incidente, sino también reducir proactivamente la exposición, lo que garantiza una mejor protección de los datos confidenciales antes de que se produzca una filtración.

En lugar de reemplazar los controles de identidad o integración, Cyera proporciona la visibilidad y contexto centrados en los datos Esto hace que esas prácticas de seguridad sean viables. El resultado es un entorno de Salesforce más sólido y resiliente, donde se eliminan los secretos, se ajusta el nivel de acceso y se facilita la gestión de riesgos.

Si una integración como Salesloft Drift se viera comprometida, esta visibilidad no evitaría la exposición inicial, pero sí marcaría una diferencia significativa al limitar su impacto. Los equipos de seguridad sabrían dónde se encuentran los datos de alto valor, si contienen información confidencial y cómo las integraciones utilizan esos datos. Este nivel de conocimiento transforma una respuesta precipitada en una respuesta informada.

Algunas de las maneras en que Cyera ayuda a las organizaciones a fortalecer su resiliencia incluyen:

  • Arrojando luz sobre los riesgos ocultos: Identificar “secretos”, credenciales y datos confidenciales dentro de los objetos de Salesforce que los atacantes podrían utilizar como objetivo.
__wf_reserved_inherit
Credenciales sin cifrar almacenadas en texto plano dentro de la plataforma Cyera.
__wf_reserved_inherit
  • Conciencia contextual de las integraciones: Destacar qué aplicaciones de terceros (como Drift) tienen acceso a datos confidenciales, para que los equipos puedan evaluar el riesgo adecuadamente.

Al proporcionar a los equipos de seguridad una visión clara de sus entornos de Salesforce (dónde residen los datos confidenciales, quién tiene acceso y cómo se comparten), ayudamos a las organizaciones a reducir riesgos, minimizar el impacto y responder con claridad cuando algo sale mal.

Conclusión

La vulnerabilidad de Salesloft Drift no se limita a un solo proveedor o plataforma. Es un recordatorio de la profunda interconexión de los ecosistemas SaaS y de cómo los atacantes explotarán cada vez más esas conexiones para encontrar secretos y credenciales que les permitan obtener accesos adicionales.

Con CyeraLas organizaciones obtienen la capacidad de visualizar y proteger datos confidenciales dentro de Salesforce, sus integraciones y aplicaciones similares. Esta visibilidad garantiza que, incluso si un servicio externo se ve comprometido, el impacto se reduce, lo que permite a los equipos de seguridad responder con claridad y confianza.

Share