Salesforce ha emitido una alerta de seguridad tras detectar actividades inusuales relacionadas con aplicaciones de Gainsight conectadas a su plataforma, en lo que ya se perfila como una nueva campaña dirigida al ecosistema SaaS mediante el compromiso de tokens OAuth de terceros.
Según el aviso oficial, la actividad sospechosa pudo haber permitido el acceso no autorizado a datos de clientes de Salesforce a través de la conexión con aplicaciones publicadas por Gainsight, uno de los principales proveedores de software de Customer Success.
Como medida inmediata de contención, Salesforce revocó todos los tokens de acceso activos y tokens de actualización asociados a las aplicaciones de Gainsight integradas en su plataforma y retiró temporalmente estas aplicaciones de su mercado oficial, AppExchange.
¿Qué ocurrió exactamente entre Salesforce y Gainsight?
Salesforce aclaró que no se ha identificado ninguna vulnerabilidad interna en su plataforma, y que la actividad maliciosa se originó a través de una integración externa vinculada a las aplicaciones de Gainsight.
“Nuestra investigación indica que esta actividad podría haber permitido el acceso no autorizado a los datos de Salesforce de ciertos clientes a través de la conexión de la app”, señaló la compañía en su aviso.
De forma paralela, Gainsight retiró temporalmente su aplicación del HubSpot Marketplace y revocó el acceso a su conector con Zendesk por precaución. Además, advirtió que el proceso de revisión también podría afectar a los flujos de autenticación OAuth existentes en los entornos de clientes.
Aunque Salesforce no ha revelado la cantidad exacta de organizaciones afectadas, confirmó que ya informó a los clientes potencialmente comprometidos.
Campaña emergente atribuida a ShinyHunters (UNC6240)
El caso escaló aún más cuando Austin Larsen, analista principal de amenazas en Google Threat Intelligence Group (GTIG), describió el incidente como una “campaña emergente” dirigida contra aplicaciones de Gainsight conectadas a Salesforce mediante compromisos de tokens OAuth de terceros.
Según el experto, el objetivo de los atacantes era aprovechar estas integraciones de confianza para obtener acceso persistente a entornos corporativos.
Diversas fuentes, incluyendo DataBreaches.Net, indican que la campaña estaría vinculada al grupo de amenazas ShinyHunters, también conocido como UNC6240. Este grupo ya ha estado involucrado en múltiples brechas de gran impacto en los últimos años y habría confirmado su participación en los ataques.
De acuerdo con sus declaraciones, las campañas contra Salesloft Drift y Gainsight les permitieron robar información de casi 1000 organizaciones, lo que convierte este incidente en uno de los más relevantes en lo que respecta a ataques contra integraciones SaaS.

Antecedentes: el ataque previo a Salesloft Drift
Este nuevo caso guarda similitudes con un ataque ocurrido a principios de agosto contra instancias de Salesloft Drift, donde los atacantes obtuvieron acceso a datos empresariales sensibles, incluyendo:
-
Nombres y correos electrónicos corporativos
-
Números de teléfono empresariales
-
Información regional y de ubicación
-
Detalles de licenciamiento de productos Salesforce
-
Contenido de casos de soporte técnico (sin archivos adjuntos)
Lo preocupante es que Gainsight fue uno de los clientes afectados en ese ataque previo, aunque por ahora no está confirmado si ese incidente está directamente relacionado con el compromiso actual.
El nuevo foco de los atacantes: tokens OAuth de integraciones SaaS
Este caso confirma una tendencia creciente: los tokens OAuth de integraciones SaaS se han convertido en un objetivo prioritario para los actores de amenazas.
A diferencia de las contraseñas, estos tokens:
-
Otorgan acceso persistente
-
No siempre están sujeto a controles de autenticación multifactor
-
Suelen ser olvidados por las organizaciones tras la implementación de una app
Según Larsen:
“Los adversarios cada vez más apuntan a los tokens OAuth de integraciones SaaS de terceros de confianza”.
Esto transforma las integraciones legítimas en una vía de entrada silenciosa para los atacantes, sin necesidad de explotar vulnerabilidades técnicas en la plataforma principal.
Riesgos para las organizaciones que usan Salesforce y aplicaciones de terceros
Las empresas que integran aplicaciones externas a Salesforce podrían enfrentarse a varios riesgos:
-
Acceso no autorizado a datos sensibles de clientes
-
Exposición de información comercial y estratégica
-
Compromiso de cuentas privilegiadas
-
Uso de datos robados para ataques de ingeniería social o extorsión
-
Riesgo reputacional y legal por incumplimiento de normativas de protección de datos
En sectores regulados como financiero, salud o telecomunicaciones, el impacto puede ser aún más crítico.
Recomendaciones de seguridad urgentes para organizaciones
A la luz de esta campaña, se recomienda a todas las organizaciones que utilizan Salesforce con integraciones SaaS seguir estas acciones inmediatas:
1. Auditar todas las aplicaciones conectadas
Revisar exhaustivamente todas las apps de terceros conectadas a su instancia de Salesforce, incluidos conectores antiguos o poco utilizados.
2. Revocar tokens OAuth innecesarios
Eliminar accesos antiguos o de aplicaciones que ya no se utilizan. Cada token activo es una potencial puerta de entrada.
3. Rotar credenciales y claves API
En caso de detectar cualquier comportamiento anómalo o integración sospechosa, realizar una rotación completa de credenciales, tokens y secretos.
4. Monitorizar eventos de autenticación
Activar alertas para detectar actividades anómalas relacionadas con tokens OAuth y accesos desde APIs.
5. Aplicar política de mínimo privilegio
Limitar los permisos otorgados a las aplicaciones de terceros únicamente a lo estrictamente necesario.
Un nuevo paradigma de riesgos en el ecosistema SaaS
Este incidente demuestra que los ataques modernos ya no se enfocan únicamente en vulnerabilidades internas, sino en cadenas de confianza entre plataformas SaaS, aplicaciones de terceros e integraciones OAuth.
Las empresas deben entender que su superficie de ataque no termina en su infraestructura, sino que se extiende a todo su ecosistema digital de proveedores, conectores y herramientas en la nube.
La campaña atribuida a ShinyHunters refuerza un mensaje claro: las integraciones SaaS mal gestionadas se están convirtiendo en el nuevo eslabón débil de la seguridad empresarial.
Fuente: The Hacker News
