Por Hannah Pérez  

Salesforce, líder en el desarrollo de software de Gestión de Relaciones con el Cliente (CRM), informó una violación que afectó a cientos de clientes. Google confirmó el incidente, estimando 200 empresas afectadas. 

***

  • Salesforce había informado de una violación de seguridad que afectó a cientos de clientes.
  • El ciberataque fue originado en una filtración en la plataforma de gestión de clientes Gainsight.
  • Google confirmó el incidente, estimando que unas 200 empresas se ven afectadas.
  • El grupo de hackers detrás, identificado como ShinyHunters, planea seguir los ataques. 

 

Google ha confirmado que un grupo de piratas informáticos robó datos almacenados en Salesforce de más de 200 empresas en un ciberataque a la cadena de suministro, originado en una filtración en la plataforma de gestión de clientes Gainsight.

El incidente, que afecta a clientes corporativos de alto perfil, representa una escalada en las tácticas de los ciberdelincuentes contra integraciones de software como servicio (SaaS).

El viernes 21 de noviembre, el Grupo de Inteligencia de Amenazas de Google (GTIG) reveló que está al tanto demás de 200 instancias de Salesforce potencialmente afectadas por el robo de datos, según un análisis realizado por su equipo de ciberseguridad.

Austin Larsen, analista principal de amenazas en GTIG, explicó en una publicación en LinkedIn, que fue recogida por el medio especializado Tech Crunch, que los atacantes explotaron tokens de autenticación OAuth comprometidos en aplicaciones publicadas por Gainsight, lo que permitió el acceso no autorizado a datos sensibles en Salesforce.

El origen del ataque se remonta a una brecha previa en septiembre en Salesloft Drift, una herramienta de ventas que afectó a Gainsight como cliente. Los hackers robaron tokens de autenticación durante esa campaña, lo que les permitió infiltrarse en instancias conectadas de Salesforce a través de las apps de Gainsight.

El grupo, identificado como ShinyHunters (también conocido como UNC6240 o Scattered Lapsus$ Hunters) reivindicó la responsabilidad en foros underground, afirmando: “Gainsight fue un cliente de Salesloft Drift, fueron afectados y por lo tanto comprometidos por completo por nosotros“. En total, los atacantes aseguran haber extraído información de casi mil organizaciones, aunque Google limita la cifra confirmada a más de 200.

Salesforce detecta «actividad inusual»

Salesforce, el gigante del CRM con sede en San Francisco, alertó por primera vez sobre el incidente el miércoles de esta semana. La compañía indicó que detectó “actividad inusual” relacionada con aplicaciones publicadas por Gainsight, lo que “puede haber habilitado el acceso no autorizado a ciertos datos de Salesforce de clientes” a través de la conexión de la app.

En un aviso en su página de estado, Salesforce enfatizó que “no hay indicios de que este problema resulte de ninguna vulnerabilidad en la plataforma de Salesforce“, y atribuyó el acceso a una “conexión externa” de Gainsight. Los datos comprometidos incluyen detalles de contactos empresariales almacenados en Salesforce, como nombres, correos electrónicos profesionales, números de teléfono, información de ubicación regional, datos de licencias de productos y contenidos de casos de soporte (sin adjuntos).

Gainsight, una plataforma de gestión de relaciones con clientes (PXM) con clientes como Airtable, Notion y GitLab, confirmó que fue víctima de la brecha en Salesloft Drift y está colaborando con Mandiant, la firma de ciberseguridad de Google, en un análisis forense.

Como medida precautoria, la empresa retiró temporalmente su app del Marketplace de HubSpot y revocó el acceso a conectores de Zendesk, lo que podría afectar temporalmente las conexiones OAuth de clientes.

Salesforce, por su parte, actuó anulando todos los permisos de acceso que tenían las aplicaciones de Gainsight, las retiró temporalmente de su tienda oficial (AppExchange) y avisó directamente a todos los clientes que podían estar afectados.

Hackers planea seguir los ataques

El impacto se extiende a varias empresas que utilizan estas integraciones. GitLab, por ejemplo, ha iniciado una investigación en su equipo de seguridad. Otras compañías como CrowdStrike, Verizon, Malwarebytes, Thomson Reuters y DocuSign han reportado estar al tanto del incidente: CrowdStrike despidió a un insider sospechoso sin impacto en sus sistemas; Verizon descartó reclamos infundados; y DocuSign, tras analizar logs, no encontró compromisos pero cortó integraciones con Gainsight.

Este ataque sigue un patrón de campañas de extorsión por parte de ShinyHunters, que en octubre lanzó un sitio web dedicado a publicitar datos robados de brechas previas en Salesloft. Los hackers han anunciado planes para un nuevo sitio de extorsión la próxima semana, utilizando tácticas de ingeniería social para explotar vulnerabilidades en la cadena de suministro de SaaS.

Expertos advierten que los adversarios están cada vez más enfocados en tokens OAuth de integraciones de terceros confiables, lo que subraya la necesidad de revisiones regulares de apps conectadas y rotación de credenciales.

El incidente resalta los riesgos crecientes en ecosistemas interconectados de software empresarial, donde una brecha en un proveedor puede propagarse rápidamente. Las autoridades y firmas de ciberseguridad continúan monitoreando la situación, mientras las empresas afectadas urgen a sus clientes a auditar accesos de terceros de inmediato.

Artículo redactado con ayuda de IA, editado por DiarioBitcoin

Imagen editada de Unsplash


ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.

Suscríbete a nuestro boletín

Artículos Relacionados