Entre el 8 y el 18 de agosto de 2025, un grupo de ciberdelincuentes accedió a grandes volúmenes de información de varias instancias de Salesforce mediante tokens OAuth comprometidos de la aplicación de terceros Drift, de Salesloft. Ambas compañías confirmaron el incidente, revocaron los permisos de la app y actualizaron los tokens, mientras que Salesforce retiró temporalmente Drift de su AppExchange.
De acuerdo con Google Threat Intelligence Group, los atacantes, identificados como UNC6395, usaron las conexiones autorizadas entre Drift y Salesforce para descargar datos sensibles.
Los investigadores detallaron que los ciberdelincuentes buscaban principalmente credenciales y claves que pudieran dar acceso a otros sistemas, como llaves de Amazon Web Services (AWS) o tokens de Snowflake. Por otro lado, intentaron borrar rastros eliminando consultas (queries), aunque los registros de actividad quedaron disponibles como evidencia. El ataque se centró en obtener información de las cuentas “Cases”, “Accounts”, “Users” y “Opportunities”.
¿A quiénes afecta?
Solo a organizaciones que tenían activa la integración de Drift con Salesforce.
Recomendaciones básicas:
- Investigar posibles compromisos y secretos expuestos revisando IPs, autenticaciones de Drift y consultas SOQL, así como objetos de Salesforce o utilizando herramientas como Trufflehog para detectar secretos o credenciales codificadas.
- Revocar y rotar llaves o secretos descubiertos, y restablecer contraseñas.
- Endurecer los controles de acceso.
Fuentes
https://thehackernews.com/2025/08/salesloft-oauth-breach-via-drift-ai.html
https://trust.salesloft.com/?uid=Drift%2FSalesforce+Security+Update
Ciberprisma - alianza por la ciberseguridad 