Incursión Cibernética en Salesloft: Un Robo Masivo de Datos
En marzo de 2025, Salesloft reveló que un ataque a su cuenta de GitHub permitió a hackers robar tokens de autenticación, que se utilizaron posteriormente en un ataque masivo contra varios clientes tecnológicos significativos. Según la investigación de Mandiant, la unidad de respuesta a incidentes de Google, los atacantes realizaron actividades de reconocimiento desde marzo hasta junio. Durante este tiempo, lograron acceder a múltiples repositorios de Salesloft, agregar un usuario invitado y establecer flujos de trabajo.
Este extenso lapso de tiempo ha suscitado cuestionamientos sobre la postura de seguridad de la empresa, especialmente porque tardaron cerca de seis meses en detectar la intrusión. Afortunadamente, Salesloft ha comunicado que la situación se encuentra “controlada”.
Después de obtener acceso a la cuenta de GitHub, los hackers penetraron en el entorno de Amazon Web Services (AWS) de Drift, la plataforma de marketing impulsada por inteligencia artificial de Salesloft. Esto les permitió robar tokens OAuth de los clientes de Drift, un estándar que permite a los usuarios autorizar una aplicación para conectarse a otra. Esta conexión facilita la interacción con visitantes en plataformas como Salesforce y otros servicios.
Los efectos de la violación de datos fueron significativos, afectando a importantes clientes de Salesloft como Bugcrowd, Cloudflare, Google, Proofpoint, Palo Alto Networks y Tenable, algunos de los cuales todavía podrían no ser públicos. En agosto, Google atribuyó esta brecha de la cadena de suministro a un grupo de hackers denominado UNC6395.
Medios de comunicación especializados en ciberseguridad señalaron que los responsables del ataque son conocidos como ShinyHunters, un grupo de hackers prolífico que busca extorsionar a las víctimas contactándolas en privado. Al acceder a los tokens de Salesloft, los atacantes también lograron entrar en instancias de Salesforce, donde robaron datos sensibles contenidos en tickets de soporte. Los objetivos primordiales del ataque incluían el robo de credenciales, prestando especial atención a información crítica como claves de acceso a AWS, contraseñas y tokens de acceso relacionados con Snowflake.
A pesar de la gravedad del incidente, Salesloft informó recientemente que la integración con Salesforce ha sido restaurada, lo que marca un avance en la recuperación tras este ataque significativo.
Este incidente pone de relieve la necesidad crítica de la ciberseguridad en el entorno empresarial actual, donde los riesgos son mayores y las técnicas de los hackers cada vez más sofisticadas. Las empresas deben estar en constante alerta y mejorar sus protocolos de seguridad para proteger sus activos más valiosos y los datos de sus clientes.
Gracias por leer Columna Digital, puedes seguirnos en Facebook, Twitter, Instagram o visitar nuestra página oficial. No olvides comentar sobre este articulo directamente en la parte inferior de esta página, tu comentario es muy importante para nuestra área de redacción y nuestros lectores.
