Una investigación reveló vulnerabilidades críticas en la plataforma low-code OmniStudio que podrían poner en riesgo información confidencial si no se configura adecuadamente.

La firma de ciberseguridad AppOmni descubrió más de 20 riesgos asociados a configuraciones defectuosas y múltiples vulnerabilidades de día cero en Salesforce OmniStudio, una herramienta de desarrollo low-code ampliamente utilizada por empresas para crear aplicaciones personalizadas.

Salesforce ya emitió cinco Common Vulnerability Exposure (CVE) y solucionó tres de ellas, aunque las otras requieren acciones manuales de los propios clientes. Entre los errores detectados se encuentran accesos no autorizados a campos cifrados, fallas en los controles de acceso, datos expuestos por uso indebido del caché y permisos inseguros que permiten ver sesiones activas o claves API. Esto se debe a configuraciones inseguras que otorgan acceso amplio a usuarios no verificados, especialmente cuando se publican APIs o se comparten elementos de forma externa.

Estas vulnerabilidades afectan especialmente a miles de organizaciones que usan los Salesforce Industry Clouds, plataformas adaptadas a sectores como salud, servicios financieros y gobierno. Según AppOmni, muchas empresas desconocen que los componentes predeterminados de OmniStudio, como DataMappers y FlexCards, pueden estar expuestos públicamente si no se ajustan debidamente los permisos.

¿Qué deben hacer las empresas?

  • Restringir accesos a nivel de campo.
  • Reforzar permisos de componentes clave.
  • Evitar cachés públicos para datos sensibles.
  • Actualizar configuraciones predeterminadas.
  • Aplicar los parches provistos por Salesforce.

En empresas reguladas por normas como HIPAA, SOX, PCI-DSS o GDPR, estas fallas pueden implicar graves riesgos legales. Como la seguridad depende del cliente, un solo descuido en la configuración puede exponer miles de datos, sin responsabilidad del proveedor.

Los hallazgos de AppOmni muestran que, aunque Salesforce OmniStudio es una herramienta potente, su mala configuración y un desarrollo inseguro pueden causar incumplimientos normativos, con un alto impacto financiero y reputacional para las empresas.

Fuente

https://cybersecuritynews.com/salesforce-omnistudio-vulnerabilities/

https://appomni.com/ao-labs/salesforce-industry-clouds-security-report-omnistudio-cves/

https://appomni.com/blog/low-code-high-stakes-salesforce-security/