Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Google alerta: la brecha de seguridad de Salesloft Drift expone más datos de lo previsto
Noticias

Google alerta: la brecha de seguridad de Salesloft Drift expone más datos de lo previsto

por Dragora
Escrito por Dragora

La reciente violación de seguridad de Salesloft Drift ha tomado un giro inesperado. Según una actualización publicada por Google, el alcance del ataque es mucho mayor de lo que se había reportado inicialmente, ya que los ciberdelincuentes no solo accedieron a instancias de Salesforce, sino que también lograron comprometer un reducido número de cuentas de Google Workspace utilizando tokens OAuth robados.

Este hallazgo pone de relieve la magnitud y peligrosidad de la campaña, rastreada por Google Threat Intelligence (Mandiant) bajo el nombre UNC6395, y obliga a todas las organizaciones que utilizan integraciones de Drift a revisar sus credenciales y reforzar sus mecanismos de seguridad.

¿Cómo ocurrió la violación de seguridad?

El 26 de agosto de 2025, Google reveló que actores de amenazas habían robado tokens OAuth de la integración de Drift AI con Salesforce. Estos tokens permitieron a los atacantes obtener acceso directo a instancias de Salesforce de clientes, ejecutando consultas en objetos críticos como:

  • Casos (Tickets de soporte)

  • Cuentas de clientes

  • Usuarios registrados

  • Oportunidades comerciales

Con este acceso, los atacantes pudieron escanear mensajes de atención al cliente y tickets de soporte en busca de información altamente sensible, incluyendo:

  • Claves de acceso de AWS

  • Tokens de Snowflake

  • Contraseñas expuestas

Este tipo de información no solo facilita el acceso no autorizado a entornos en la nube, sino que también abre la puerta a campañas de extorsión y ataques de mayor alcance.

Google confirma un impacto mayor: acceso a correos electrónicos

En su nueva actualización, Google informó que el compromiso no estaba limitado a Salesforce. La investigación reveló que los atacantes también obtuvieron acceso a integraciones de Drift Email, lo que derivó en el acceso a un número muy reducido de cuentas de correo electrónico de Google Workspace vinculadas directamente con Drift.

Afortunadamente, Google aclaró que:

  • Ninguna otra cuenta dentro de los dominios afectados fue comprometida.

  • No se detectó ningún acceso indebido a Google Workspace en general ni a otros servicios de Alphabet.

Aun así, la confirmación de que el ataque trascendió Salesforce eleva la criticidad del incidente y obliga a extremar precauciones.

Medidas tomadas tras el ataque

Tras detectar el alcance del incidente, Google y Salesloft han implementado varias medidas inmediatas:

  1. Revocación de tokens OAuth robados.

  2. Notificación directa a los clientes afectados.

  3. Deshabilitación temporal de la integración entre Drift Email y Google Workspace.

  4. Suspensión de integraciones de Drift con Salesforce, Slack y Pardot, en coordinación con Salesforce.

  5. Contratación de firmas especializadas como Mandiant y Coalition para investigar el incidente y contener el daño.

Estas acciones buscan frenar cualquier intento adicional de los atacantes mientras continúa el análisis forense.

Recomendaciones de seguridad para empresas que usan Drift

Ante la seriedad de la brecha, Google ha emitido una advertencia contundente: todas las organizaciones deben tratar los tokens de autenticación asociados a Drift como comprometidos.

Las recomendaciones principales incluyen:

  • Revocar y rotar todos los tokens OAuth vinculados a Drift.

  • Revisar todas las integraciones de terceros conectadas a Salesforce, Google Workspace u otros servicios asociados.

  • Investigar signos de acceso no autorizado en los sistemas internos.

  • Restablecer credenciales expuestas encontradas en tickets, bases de datos o registros.

  • Implementar autenticación multifactor (MFA) en todas las cuentas críticas para reducir el riesgo de acceso indebido.

Google

Un patrón en la seguridad en la nube

Este incidente se suma a una tendencia creciente de ataques que aprovechan tokens OAuth y credenciales expuestas para infiltrarse en entornos corporativos. A diferencia de los métodos tradicionales de phishing, este tipo de ataques es especialmente preocupante porque:

  • Los tokens robados ofrecen acceso legítimo sin necesidad de contraseña.

  • Permiten a los atacantes evadir gran parte de las defensas convencionales.

  • Dificultan la detección, ya que las conexiones parecen autorizadas.

Según datos de Google, habilitar MFA en las cuentas reduce en un 98,56% el riesgo de compromiso, incluso en casos donde las credenciales son robadas.

Conclusión: un llamado urgente a reforzar la seguridad

La violación de seguridad de Salesloft Drift es un recordatorio de lo vulnerables que pueden ser las integraciones en la nube cuando no se gestionan adecuadamente los tokens de acceso y las credenciales.

Aunque Google afirma que el número de cuentas afectadas en Google Workspace fue mínimo, el hecho de que los atacantes lograran expandir su alcance más allá de Salesforce demuestra la sofisticación de la campaña UNC6395 y la urgencia de que las organizaciones:

  • Revise sus integraciones activas.

  • Roten sus credenciales con regularidad.

  • Implementen controles de seguridad adicionales, como MFA y monitorización de anomalías.

La lección es clara: en un ecosistema digital cada vez más interconectado, la seguridad no depende solo del proveedor de servicios, sino también de la proactividad de las organizaciones.

Fuente: Bleeping Computer

0 Comentar
0
FacebookTwitterPinterestLinkedinEmail

You may also like

Redis corrige fallo crítico RCE descubierto por IA

HTTP/2 Bomb amenaza NGINX, Apache e IIS

Cisco corrige fallo crítico CVSS 10 en Secure...

Europa y EE. UU. desmantelan VPN usada por...

Microsoft corregirá fallo de contraseñas en Edge

Microsoft confirma ataques contra Exchange Server

Malware detectado en versiones npm de node-ipc

Cisco corrige fallo crítico SD-WAN explotado activamente

Microsoft corrige error de Office en Windows 365

Google descubre exploit zero-day creado con IA

Dejar Comentario

Guardar mi nombre y email para el próximo comentario

Click to listen highlighted text!