Los grupos cibercriminales involucrados afirman haber robado más de 1.500 millones de registros mediante el uso de tokens OAuth comprometidos. Entre las empresas afectadas figuran gigantes como Google, Cloudflare, Palo Alto Networks y Zscaler.
El ecosistema tecnológico enfrenta uno de los mayores incidentes de seguridad de los últimos años. Diversos actores de amenazas, entre ellos ShinyHunters, Scattered Spider y Lapsus$ —ahora autodenominados “Scattered Lapsus$ Hunters”—, se atribuyen el robo de más de 1.500 millones de registros de Salesforce pertenecientes a 760 compañías. El ataque, que se originó en una brecha a Salesloft, plataforma de gestión de ventas y comunicación con clientes, ha sido descrito como un evento de tipo “supply chain”.
La cronología del ataque comenzó en marzo de este año, cuando los atacantes irrumpieron en el repositorio de GitHub de Salesloft. Según investigaciones, allí accedieron al código fuente privado de la compañía y utilizaron la herramienta de seguridad TruffleHog para identificar secretos incrustados en el código. Este proceso reveló tokens OAuth de Drift y Drift Email, servicios vinculados a Salesforce que permiten la sincronización de conversaciones, leads y casos de soporte en el CRM.
“Después de exfiltrar la información, los actores buscaron credenciales sensibles, incluyendo claves de acceso de Amazon Web Services (AWS), contraseñas y tokens relacionados con Snowflake”, detalló Google Threat Intelligence (Mandiant), que sigue el caso bajo las designaciones UNC6040 y UNC6395.
La información robada incluye 250 millones de registros desde la tabla objeto “cuenta”s, 579 millones de “contactos”, 171 millones de “oportunidades”, 60 millones de “usuarios” y cerca de 459 millones de casos de “soporte”. Estos últimos resultan especialmente críticos, pues contienen texto de tickets enviados por clientes, que en compañías tecnológicas pueden incluir datos confidenciales como contraseñas, claves de acceso y tokens de autenticación.
Un vocero de Salesloft reconoció la magnitud del problema en una actualización difundida el 26 de agosto, explicando que “las investigaciones iniciales muestran que el objetivo principal de los atacantes era robar credenciales, específicamente información sensible como claves de AWS, contraseñas y tokens vinculados a Snowflake”.
El ataque afectó a empresas de primer nivel en el ámbito de la ciberseguridad y la nube, entre ellas Google, Cloudflare, Zscaler, Tenable, CyberArk, Elastic, BeyondTrust, Proofpoint, JFrog, Nutanix, Qualys, Rubrik, Cato Networks y Palo Alto Networks. La lista de víctimas continúa creciendo, lo que recientemente motivó al FBI a emitir un aviso oficial en el que comparte indicadores de compromiso (IOC) asociados a los grupos criminales involucrados.
En paralelo, Salesloft adoptó medidas de contención, como la rotación de credenciales, el aislamiento de la infraestructura de Drift y la suspensión temporal de su integración con Salesforce. Tras un proceso de verificación y análisis forense liderado por Mandiant, la compañía comunicó recientemente la restauración de la integración, acompañada de guías específicas para los clientes que deban reconfigurar la sincronización de datos.
Pese a que los atacantes anunciaron en Telegram que se retirarían y “se mantendrían en silencio”, expertos advirtieron que la actividad maliciosa continúa, con un giro hacia el sector financiero desde julio de 2025.
Google confirmó que en paralelo a esta operación los atacantes intentaron abusar de su sistema de solicitudes de cumplimiento legal (LERS) mediante la creación de una cuenta fraudulenta. Sin embargo, la empresa aseguró que “no se realizaron solicitudes ni se accedió a datos” gracias a la detección y eliminación rápida de la cuenta sospechosa.
Ante el impacto del ataque, Salesforce recomendó a sus clientes reforzar las medidas de seguridad, entre ellas el uso obligatorio de autenticación multifactor (MFA), la aplicación del principio de menor privilegio y una gestión estricta de las aplicaciones conectadas.
El caso ha generado discusión sobre dos aspectos: primero, cómo una intrusión inicial en un proveedor de software puede desencadenar un efecto en cadena que impacta a cientos de empresas a nivel global, alimentando además los mercados de extorsión digital, y segundo, la filtración marca un punto de inflexión en la discusión sobre la seguridad en integraciones SaaS y la gestión de terceros en entornos corporativos.