Las compañías de ciberseguridad se suman a la lista de organizaciones afectadas por el robo de tokens OAuth vinculados a la aplicación Salesloft Drift, utilizada en integraciones con Salesforce.
El ataque a la cadena de suministro conocido como “SalesDrift” continúa sumando víctimas en el sector tecnológico. Ahora fueron Tenable y Qualys, dos proveedores clave de ciberseguridad, quienes notificaron que parte de la información de sus clientes fue expuesta tras la explotación de credenciales asociadas a Salesforce.
El incidente se originó en Salesloft Drift, una aplicación de terceros integrada en Salesforce y usada para la automatización de flujos de trabajo y la gestión de contactos. De acuerdo con un comunicado de Salesloft emitido el pasado 7 de septiembre, los atacantes irrumpieron inicialmente en la plataforma en marzo, permanecieron inactivos mientras analizaban los sistemas y en junio robaron tokens OAuth de clientes. A fines de agosto, comenzaron a utilizarlos para acceder a entornos corporativos.
Tenable fue una de las primeras en advertir el problema, a través de una alerta de seguridad publicada el 3 de septiembre. Allí informó que un usuario no autorizado había accedido a información parcial de algunos clientes en su instancia de Salesforce. Los datos comprometidos incluían líneas de asunto, descripciones iniciales de casos de soporte y datos de contacto habituales, como nombre, correo electrónico, teléfono y ubicación. “En este momento, no tenemos evidencia de que esta información haya sido mal utilizada”, aseguró la compañía, que también confirmó que ninguno de sus productos ni servicios resultó afectado.
Tres días más tarde, Qualys difundió una advertencia similar. En un comunicado, la empresa reconoció que las credenciales sustraídas en la campaña de robo de tokens permitieron a los atacantes un “acceso limitado a cierta información de Salesforce”. La firma subrayó que sus productos siguen operativos y que no hay indicios de que la brecha impacte en su portafolio de servicios.
Ambas organizaciones tomaron medidas inmediatas, deshabilitando la aplicación Salesloft Drift, revocando las integraciones comprometidas y rotando credenciales. Tenable reforzó su entorno de Salesforce y sistemas relacionados, mientras que Qualys indicó estar colaborando con Salesforce y con Mandiant de Google Cloud para investigar y contener el incidente.
La lista de empresas comprometidas no deja de crecer. Google, BeyondTrust, Cloudflare, Palo Alto Networks, Elastic, Zscaler, entre muchas otras.
El Google Threat Intelligence Group (GTIG) fue quien identificó inicialmente la campaña, el pasado 26 de agosto, al detectar el uso de tokens robados para infiltrarse en un número limitado de cuentas de Google Workspace. Desde entonces, diversas compañías han publicado avisos de seguridad y Nudge Security creó un panel para rastrear las organizaciones afectadas y las fechas de compromiso.
En su actualización más reciente, Salesloft confirmó que la integración con Salesforce ha sido restaurada. Sin embargo, la magnitud del ataque refleja cómo un solo eslabón vulnerable en la cadena de suministro puede impactar de forma masiva en múltiples organizaciones alrededor del mundo.