En agosto de 2025 un sofisticado ataque a la cadena de suministro comprometió Drift, la integración de chatbots de Salesloft, y permitió al grupo UNC6395 (GRUB1) robar credenciales OAuth y extraer datos de cientos de instancias de Salesforce en todo el mundo. La intrusión se gestó durante meses: los atacantes obtuvieron acceso persistente al GitHub de Salesloft entre marzo y junio de 2025, pivotaron hacia la infraestructura de AWS del proveedor y extrajeron tokens válidos utilizados por la integración Drift–Salesforce. Entre el 8 y el 18 de agosto exfiltraron información de contactos, casos de soporte y credenciales sensibles pertenecientes a empresas como Cloudflare, Palo Alto Networks y Zscaler. A continuación desglosamos el ataque, los fallos defensivos y los controles que debe aplicar su organización para proteger su ecosistema SaaS.

Cronología del incidente

  • Marzo–junio de 2025: UNC6395 compromete la cuenta de GitHub de Salesloft, descarga múltiples repositorios y crea flujos maliciosos capaces de desplegar código en AWS.
  • 8 de agosto de 2025: Comienza la campaña de exfiltración utilizando tokens OAuth robados de la integración Drift–Salesforce.
  • 9 de agosto: En Cloudflare los atacantes realizan reconocimiento con Trufflehog desde la IP 44.215.108.109.
  • 12–17 de agosto: UNC6395 accede de forma sistemática a orgs de Salesforce en Cloudflare, Palo Alto Networks, Zscaler y cientos de clientes adicionales, extrayendo datos de contacto y casos de soporte.
  • 17 de agosto: Los atacantes cambian a la IP 208.68.36.90 y ejecutan un job del Bulk API 2.0, obteniendo el historial de casos de Cloudflare en apenas tres minutos.
  • 18 de agosto: Finaliza la fase activa de robo de datos cuando varias víctimas detectan actividad API anómala.
  • 20 de agosto: Salesloft divulga públicamente el incidente que afecta a Drift.
  • 23 de agosto: Salesforce y Salesloft notifican a clientes afectados, incluidos Cloudflare y Zscaler.
  • 26 de agosto: Google Threat Intelligence emite una alerta sobre el robo de tokens OAuth y la exfiltración masiva de datos.
  • 27 de agosto: Salesloft contrata a Mandiant para realizar una investigación forense completa.
  • 28 de agosto: Salesforce bloquea globalmente todas las integraciones de Drift; Google actualiza su aviso de amenaza.
  • 1 de septiembre: Salesloft comunica que el incidente se encuentra contenido, aunque Drift permanece deshabilitado mientras se restauran las integraciones del resto de la plataforma.
  • 2 de septiembre: Cloudflare notifica formalmente a sus clientes mientras los atacantes lanzan una campaña de extorsión para impedir la divulgación de los datos robados.

Análisis del camino de ataque

El ataque siguió el patrón GitHub → AWS → Tokens OAuth → Datos de Salesforce. Cada etapa permitió a los agresores ampliar privilegios y mantener persistencia sin activar controles tradicionales.

Etapa 1: Compromiso de GitHub (marzo–junio 2025)

El grupo UNC6395 obtuvo acceso persistente al GitHub de Salesloft mediante mecanismos aún no divulgados. Desde allí descargó repositorios y creó workflows maliciosos. En dichos repositorios residían claves de acceso de AWS utilizadas en procesos de despliegue —“identidades en tránsito” que pasan por alto la autenticación interactiva tradicional.

Etapa 2: Pivot a AWS (junio–agosto 2025)

Con las claves robadas, los atacantes asumieron roles de IAM con privilegios suficientes para consultar secretos en AWS Systems Manager y AWS Secrets Manager. También accedieron a configuraciones que contenían credenciales del conector Drift.

Etapa 3: Robo de tokens OAuth (julio–agosto 2025)

Los secretos extraídos incluían tokens OAuth de Drift que otorgaban acceso a Salesforce, además de credenciales de otras automatizaciones conectadas. Como estos tokens estaban configurados con scopes amplios (Modify All Data, API, refresh_token), bastó con reutilizarlos para suplantar las integraciones legítimas sin disparar MFA ni registros de sesión interactiva.

Etapa 4: Exfiltración de datos desde Salesforce (8–18 de agosto 2025)

Armados con los tokens, los atacantes enumeraron esquemas (/sobjects/*/describe), consultaron objetos críticos mediante REST y SOQL y finalmente utilizaron Bulk API 2.0 para exportar grandes volúmenes de información, incluidos casos de soporte con credenciales incrustadas, contactos con PII y datos comerciales sensibles.

Impacto empresarial

  • Exposición de datos: Se exfiltraron PII, registros de soporte, cadencias de ventas y credenciales almacenadas en campos personalizados.
  • Interrupción de automatizaciones: Organizaciones suspendieron cadencias, flujos iPaaS y bots RPA conectados a Drift para evitar movimientos laterales adicionales.
  • Riesgo de identidad: Tokens reutilizados permitieron pivotar a data lakes, herramientas de marketing y otras plataformas integradas.
  • Costos de respuesta: Auditorías de emergencia, notificaciones regulatorias, y renegociaciones de contratos con partners y clientes.

Lecciones clave para Salesforce y Salesloft

1. Elimine las auto-actualizaciones de paquetes privilegiados

Las actualizaciones deben pasar por un proceso de revisión técnica y de seguridad en entornos sandbox antes de llegar a producción, especialmente si el paquete dispone de scopes administrativos.

2. Reduzca y supervise los scopes OAuth

Emplee scopes granulares, revise logs de OAuth desde Security Center o Event Monitoring y configure alertas frente a tokens reusados desde IP desconocidas.

3. Proteja las “identidades en tránsito”

Exija vaults dedicados para credenciales en CI/CD, rotación automática y firmas de commits. Los secretos en repositorios deben ser tratados como incidentes de prioridad alta.

4. Supervise las automatizaciones conectadas

Audite Flows y callouts creados automáticamente por paquetes externos, limite destinos HTTP y aplique listas blancas estrictas.

5. Prepare playbooks SaaS específicos

Incluya guiones de revocación de tokens, validación con proveedores y notificaciones combinadas entre equipos de Salesforce, SecOps, legal y compras.

Lista de acciones inmediatas

  • Verifique si su organización utilizó Drift durante marzo–septiembre de 2025; en caso afirmativo asuma compromiso y ejecute un plan de respuesta.
  • Descargue Event Monitoring para el periodo 8–18 de agosto y busque actividad desde las IP 44.215.108.109 y 208.68.36.90, así como consultas masivas o llamadas a /sobjects/*/describe.
  • Revoque todos los tokens OAuth asociados a Drift y regenere credenciales de sistemas aguas abajo que consuman datos de Salesforce a través de Salesloft.
  • Audite casos de soporte y objetos personalizados en busca de credenciales embebidas; rote inmediatamente cualquier secreto encontrado.
  • Revise cada aplicación conectada en Setup → App Manager y reduzca permisos a mínimo privilegio.
  • Solicite a Salesloft y Salesforce confirmación de impacto y IOCs específicos para su tenant.
  • Actualice cuestionarios de riesgo para exigir evidencia sobre controles de CI/CD y gestión de credenciales.

Cómo ayuda 360 Security Group tras la brecha

360 Security Group acompaña a las organizaciones en la recuperación y refuerzo de su cadena de suministro SaaS:

La brecha Salesforce–Salesloft demuestra que los límites de confianza en SaaS se extienden hasta las prácticas de DevOps de los proveedores, las cadenas de integración y la higiene de credenciales. Tratar repositorios GitHub, tokens OAuth y datos de soporte como superficies críticas permite detectar amenazas antes, contener brechas con rapidez y emerger más resiliente frente al próximo ataque de cadena de suministro.

Etiquetas

Salesforce Salesloft Drift Cadena de Suministro Seguridad SaaS OAuth Respuesta a Incidentes