El ataque masivo a la aplicación Salesloft Drift sigue dejando víctimas de alto perfil. La filtración, atribuida al grupo UNC6395, comprometió instancias de Salesforce en empresas globales, exponiendo datos de clientes, credenciales y casos de soporte.
Palo Alto Networks, Cloudflare y Zscaler, reconocieron en los últimos días haber sido víctimas de un ataque a la cadena de suministro digital que comprometió la aplicación Salesloft Drift, utilizada para gestionar interacciones de soporte y clientes dentro de Salesforce.
El incidente, detectado a mediados de agosto, permitió a los atacantes robar tokens de autenticación OAuth y utilizarlos para acceder a instancias de Salesforce de múltiples empresas. El grupo de amenazas, identificado como UNC6395, habría extraído grandes volúmenes de datos entre el 8 y el 18 de agosto de 2025, en una operación coordinada que ha sido descrita como una de las más graves de los últimos años.
Palo Alto Networks: datos de soporte y cuentas internas expuestos
Palo Alto Networks confirmó que los atacantes lograron acceder a su instancia de Salesforce aprovechando tokens de autenticación OAuth comprometidos por Drift. La compañía precisó que los datos extraídos corresponden principalmente a información de contacto empresarial, registros de cuentas internas y casos de soporte de clientes.
“Confirmamos que fuimos una de las muchas organizaciones afectadas por este ataque de la cadena de suministro”, indicó la empresa en un comunicado. “Nuestros sistemas y productos no fueron impactados, pero estamos notificando directamente a los clientes cuyos datos pudieron haber estado más expuestos”.
La investigación de Unit 42, el equipo de ciberseguridad de Palo Alto, determinó que los atacantes buscaban credenciales sensibles como claves de acceso de AWS, tokens de Snowflake, cadenas de inicio de sesión de VPN y SSO, además de palabras clave como password o secret. Estas credenciales podrían ser utilizadas para acceder a otras plataformas en ataques posteriores.
La compañía agregó que los actores maliciosos utilizaron herramientas automatizadas personalizadas en Python y técnicas antiforenses como la eliminación de registros de consultas y el uso de Tor para ocultar su rastro.
Cloudflare: tokens y datos de clientes comprometidos
Casi en paralelo, Cloudflare reveló que detectó actividad sospechosa en su Salesforce el pasado 9 de agosto, que derivó en la exfiltración de datos entre el 12 y el 17 del mismo mes. El análisis confirmó que los atacantes accedieron a objetos de casos de Salesforce, lo que incluye información de soporte al cliente, correos electrónicos de contacto y, en algunos casos, credenciales compartidas en procesos de resolución de incidentes.
La empresa alertó que 104 tokens de API propios fueron comprometidos, aunque ya fueron rotados preventivamente. “Cualquier información compartida en nuestros casos de soporte, incluidos logs, contraseñas o claves de acceso, debe ser considerada comprometida”, advirtió Cloudflare a sus clientes.
En su evaluación, la firma sostuvo que los atacantes probablemente buscan aprovechar los datos recolectados para ejecutar campañas más específicas contra clientes de las organizaciones afectadas.
Zscaler: contactos y licencias entre la información filtrada
Por último, Zscaler reconoció que su instancia de Salesforce fue comprometida en este mismo ataque. Los actores maliciosos accedieron a datos como nombres, direcciones de correo electrónico, cargos, teléfonos, información de licencias de productos y contenido de algunos casos de soporte.
Aunque la empresa insistió en que no hay evidencia de uso indebido de la información, recomendó a sus clientes estar atentos ante intentos de phishing o ingeniería social. “Exhortamos a todos a verificar siempre la autenticidad de comunicaciones y evitar compartir contraseñas o información financiera por canales no oficiales”, señaló la empresa.
La compañía actuó revocando el acceso de Drift a su Salesforce, rotando otros tokens de API y reforzando sus protocolos de autenticación en la atención al cliente.
Un ataque en expansión
De acuerdo con el Google Threat Intelligence Group (GTIG), el grupo UNC6395 estaría detrás de esta campaña que, entre el 8 y el 18 de agosto, atacó múltiples instancias de Salesforce. Los atacantes se enfocaron en casos de soporte para recolectar credenciales, secretos y llaves que faciliten nuevos accesos a entornos críticos en la nube.
Aunque algunos investigadores han sugerido la posible participación de un actor estatal, hasta el momento no existe evidencia concluyente que lo confirme. Lo que sí parece claro es que este incidente se suma a una oleada más amplia de ataques a Salesforce, muchos de ellos vinculados en el pasado al grupo de extorsión ShinyHunters, que emplea tácticas de vishing (voice phishing) para engañar a empleados y vincular aplicaciones maliciosas a entornos corporativos.
El compromiso de Salesloft Drift llevó tanto a Salesforce como a Google a deshabilitar temporalmente sus integraciones con la aplicación mientras avanza la investigación.
Tal como lo expresaron desde Cloudflare “dado que cientos de organizaciones fueron afectadas, es altamente probable que esta información se utilice en ataques dirigidos en los próximos meses”.