Salesforce confirmó una campaña de robo de datos enfocada en instancias públicas de Experience Cloud con permisos de “guest user” excesivos, que el grupo cibercirminal ShinyHunters ha estado escaneando y explotando desde 2025 para extraer información de cientos de organizaciones.
El grupo cibercirminal ShinyHunters ha reivindicado su rol principal en una serie de campañas de robo de datos dirigidas a clientes de Salesforce, vinculadas a configuraciones incorrectas en el servicio Experience Cloud que permiten a usuarios no autenticados consultar datos que deberían ser privados. La actividad ha sido confirmada por Salesforce en un aviso publicado por la compañía el 7 de marzo recién pasado, en el que se advierte a los clientes sobre ataques dirigidos a instancias expuestas públicas o mal configuradas de Experience Cloud.
Salesforce explicó que el incidente no es atribuible a una vulnerabilidad técnica presente en su plataforma, sino a errores en la configuración de los perfiles de usuario “guest” que, cuando tienen permisos excesivos, permiten a cualquier visitante sin autenticar realizar consultas a objetos del CRM. Esta falla de configuración ocurre en portales públicos que usan el framework Aura para comunicarse con servicios backend, sobre el endpoint /s/sfsites/aura, y puede exponer datos si los ajustes de seguridad no son los adecuados.
El grupo ShinyHunters ha difundido en su sitio de filtraciones que ha explotado estas configuraciones desde septiembre de 2025 escaneando activamente sitios de Experience Cloud expuestos en Internet. Los atacantes estarían empleando una versión modificada de Aura Inspector, una herramienta de código abierto originalmente desarrollada por Mandiant para ayudar a los administradores a detectar configuraciones problemáticas, adaptada en estos casos para automatizar el descubrimiento y la extracción de datos cuando las configuraciones de permisos lo permiten.
Según las afirmaciones publicadas por los atacantes y recogidas por medios especializados de ciberseguridad, la campaña habría afectado a “varias cientos de compañías”, con cifras de organizaciones comprometidas que oscilarían entre 300 y 400. Entre las empresas mencionadas por ShinyHunters como víctimas estarían nombres de alto perfil en la industria tecnológica, aunque no se han confirmado públicamente los incidentes ni sus alcances.
Salesforce ha reiterado que el núcleo de su plataforma permanece seguro y que los incidentes están relacionados con configuraciones de clientes y no con fallos de código internos. En su comunicado, la empresa recomendó a los administradores auditar los permisos de los perfiles de “guest user”, establecer los valores predeterminados de acceso externo a “privado”, deshabilitar el acceso a APIs públicas para cuentas guest y revisar registros de eventos de Aura para identificar patrones de acceso inusuales.
A raíz de la difusión de la alerta, organizaciones que utilizan Salesforce Experience Cloud han sido instadas a revisar con urgencia la configuración de sus portales públicos y a aplicar las recomendaciones de seguridad para limitar los permisos otorgados a usuarios guest, así como a monitorizar actividad sospechosa y patrones de acceso atípicos en los logs de sus sistemas.