ShinyHunters afirma robo de 1,5 mil millones de registros de Salesforce mediante tokens OAuth de Salesloft/Drift

septiembre 17, 2025

ShinyHunters afirma robo de 1,5 mil millones de registros de Salesforce mediante tokens OAuth de Salesloft/Drift

Resumen del incidente

El grupo de extorsión conocido como ShinyHunters ha asegurado haber sustraído más de 1.500 millones de registros de Salesforce pertenecientes a 760 empresas, aprovechando tokens OAuth comprometidos vinculados a Salesloft y Drift. Según la reclamación, los tokens permitieron el acceso a datos almacenados en instancias de Salesforce a través de integraciones autorizadas por las organizaciones afectadas.

ShinyHunters afirma haber exfiltrado más de 1.500 millones de registros de Salesforce de 760 empresas usando tokens OAuth comprometidos de Salesloft/Drift.

Qué ocurrió y cómo funciona el ataque

De acuerdo con la información disponible, los atacantes obtuvieron tokens OAuth asociados a integraciones entre plataformas comerciales (Salesloft/Drift) y Salesforce. Un token OAuth válido actúa como una credencial que autoriza a una aplicación o servicio a acceder a recursos en nombre de un usuario o una organización sin requerir la contraseña del usuario. Si un token es robado o indebidamente reutilizado, un adversario puede interactuar con APIs y exportar datos según los permisos que el token tenga concedidos.

En este caso, el vector no sería una intrusión directa a las credenciales de Salesforce, sino el abuso de integraciones autorizadas que ya disponían de permisos de lectura o exportación sobre objetos de Salesforce (contactos, clientes potenciales, cuentas y otros registros comerciales). La magnitud declarada del robo —1,5 mil millones de registros— sugiere acceso generalizado o múltiples instancias afectadas.

Contexto y antecedentes: por qué importa

Los incidentes que abusan de tokens OAuth y claves API forman parte de una tendencia más amplia en la que los atacantes explotan integraciones y credenciales de terceros para alcanzar datos empresariales en la nube. Esto importa por varias razones:

  • Escala y riqueza de los datos: Salesforce a menudo alberga información sensible de clientes y operaciones comerciales que puede incluir identificadores personales, historiales de ventas y detalles de contacto.
  • Persistencia del acceso: los tokens OAuth con permisos amplios y larga validez permiten exfiltración sostenida si no se revocan o rotan.
  • Cadena de suministro e integración: la dependencia de plataformas de terceros y de integraciones automatizadas eleva el riesgo de ataques por la vía indirecta.
  • Impacto regulatorio y reputacional: pérdidas de datos a gran escala exponen a las empresas a obligaciones de notificación, sanciones y daño a la confianza del cliente.

Grupos como ShinyHunters han sido asociados públicamente con campañas de robo de datos y extorsión en el pasado, lo que añade un componente de riesgo adicional: los datos robados suelen filtrarse o venderse públicamente si no se satisface la demanda del atacante.

Análisis técnico y recomendaciones para equipos de seguridad

Para equipos técnicos y responsables de seguridad, el caso subraya la necesidad de controlar de forma proactiva las credenciales y las integraciones. A continuación se ofrece un análisis y pasos concretos a seguir:

  • Auditoría inmediata de integraciones y tokens:
    • Identificar todas las aplicaciones conectadas a Salesforce (por ejemplo, Salesloft, Drift y otras) y enumerar los tokens y sus permisos (scopes).
    • Revocar y rotar tokens cuya procedencia no se pueda verificar o que tengan ámbitos excesivos.
  • Revisión de logs y actividades anómalas:
    • Analizar registros de API, exportaciones masivas y patrones inusuales (picos de lecturas, accesos desde IPs no habituales, horarios atípicos).
    • Correlacionar eventos con accesos a las cuentas de terceros implicadas.
  • Principio de menor privilegio y limitación de scopes:
    • Reducir los permisos otorgados a integraciones al mínimo necesario (lectura selectiva en lugar de acceso global).
    • Configurar tokens con caducidad corta y renovaciones obligadas mediante flujo seguro de autorización.
  • Controles de acceso reforzados:
    • Aplicar autenticación multifactor (MFA) y políticas de acceso condicional a nivel organizativo siempre que sea posible.
    • Implementar lista blanca de IPs o restricciones geográficas para llamadas API críticas si la arquitectura lo permite.
  • Monitorización y detección:
    • Habilitar alertas por comportamientos anómalos en SIEM/EDR y reglas específicas para exportaciones de datos.
    • Integrar detección de abuso de tokens y uso fuera de patrón en flujos de autorización OAuth.
  • Plan de respuesta a incidentes y comunicación:
    • Preparar playbooks específicos para el robo de tokens OAuth (revocación, contención, comunicación y notificación).
    • Coordinar con asesores legales sobre obligaciones de notificación a clientes y reguladores (por ejemplo, GDPR en Europa, normas locales de protección de datos).

Riesgos, implicaciones y comparables

Las consecuencias de un acceso masivo a datos de Salesforce pueden abarcar robo de identidad, campañas de phishing dirigidas y fraude comercial. A nivel corporativo, los riesgos incluyen pérdida de ventaja competitiva, sanciones regulatorias y costes de remediación elevados.

Es ampliamente reconocido en la industria que las credenciales comprometidas, las integraciones excesivamente permisivas y las configuraciones erróneas en entornos cloud figuran entre las causas frecuentes de brechas. Informes de incidentes y análisis sectoriales han señalado durante años que la explotación de API, tokens y claves es una vía recurrente para exfiltrar datos sin necesidad de comprometer contraseñas de usuarios finales.

Comparables notables —sin entrar en detalles de casos concretos por variar las circunstancias— muestran una tendencia: los atacantes prefieren vectores que permitan acceso a gran escala con menor visibilidad, como tokens OAuth, claves API y permisos de aplicaciones de terceros. La historia reciente de la seguridad cloud ilustra que la gestión deficiente de integraciones puede multiplicar el impacto de una brecha.

Consejos adicionales para proveedores de plataforma y administradores

  • Para proveedores (Salesloft, Drift y otros integradores): ofrecer controles granulares de permisos, visibilidad de tokens en paneles de administración y mecanismos sencillos para revocar autorizaciones a nivel organizativo.
  • Para administradores de Salesforce: habilitar logs detallados de eventos, políticas de autorización de aplicaciones y revisiones periódicas de aplicaciones conectadas.
  • Para equipos de riesgo y cumplimiento: incluir revisiones de integración en auditorías de seguridad y evaluaciones de proveedores, y exigir contratos que contemplen seguridad de tokens y notificación de incidentes.

Conclusión

La reclamación de ShinyHunters sobre la exfiltración de 1,5 mil millones de registros a través de tokens OAuth comprometidos subraya un vector de ataque que continúa siendo eficaz: el abuso de integraciones y credenciales de terceros. Las organizaciones que dependen de ecosistemas interconectados deben priorizar la gestión y rotación de tokens, la visibilidad de aplicaciones conectadas, el principio de menor privilegio y una respuesta rápida ante indicios de abuso. La combinación de controles técnicos, monitoreo proactivo y preparación legal y comunicativa es esencial para mitigar el impacto de este tipo de incidentes.

Source: www.bleepingcomputer.com

Comparte este Blog

LinkedIn
X
WhatsApp
Facebook
Telegram
Email

Más de la categoría

CoPhish: nueva técnica que usa agentes de Copilot Studio para robar tokens OAuth
Noticias Ciberseguridad
Ataques masivos explotan plugins antiguos de WordPress: GutenKit y Hunk Companion permiten RCE
Noticias Ciberseguridad
TP‑Link parchea cuatro fallos en Omada Gateway; dos permiten ejecución remota de código
Noticias Ciberseguridad
Cierre inmediato de DNS0.EU: el servicio DNS público europeo cesa por problemas de sostenibilidad
Noticias Ciberseguridad