El panorama de la ciberseguridad empresarial enfrenta un nuevo capítulo crítico: ShinyHunters y otros grupos asociados afirman haber robado más de 1.5 mil millones de registros de Salesforce pertenecientes a 760 empresas globales, utilizando tokens OAuth comprometidos de plataformas de terceros como Salesloft Drift y Drift Email. Este ataque, que combina ingeniería social, abuso de OAuth y explotación de repositorios filtrados, representa una de las campañas de robo de datos corporativos más masivas registradas en 2025.
Cómo ocurrió el ataque: Salesloft, Drift y tokens expuestos
En marzo de 2025, actores de amenazas violaron el repositorio GitHub privado de Salesloft, donde encontraron secretos y tokens expuestos gracias al uso de herramientas de auditoría como TruffleHog. Entre ellos se identificaron credenciales OAuth válidas para Salesloft Drift, que conecta Salesforce CRM con el chat de Drift AI, y para Drift Email, encargado de la automatización de marketing y gestión de correos.
Con estos tokens, los atacantes lograron infiltrarse en múltiples instancias de Salesforce, accediendo y descargando datos masivos de las principales tablas del CRM:
-
Cuenta: 250 millones de registros
-
Contacto: 579 millones
-
Oportunidad: 171 millones
-
Usuario: 60 millones
-
Case (tickets de soporte): 459 millones
La información de soporte (Case) es especialmente sensible, ya que puede incluir datos confidenciales de clientes, problemas técnicos e incluso secretos corporativos.
Extorsión y análisis de datos robados
Una vez recopilada la información, ShinyHunters y grupos asociados como Scatter Spider y Lapsus$, ahora autodenominados Scatter Lapsus$ Hunters, iniciaron campañas de extorsión corporativa. Las empresas afectadas recibieron presiones para pagar rescates y evitar la filtración pública de datos.
Google Threat Intelligence (Mandiant) confirmó que los atacantes analizaron los datos de soporte para encontrar credenciales sensibles y claves de acceso, especialmente:
-
Claves AKIA de AWS
-
Contraseñas corporativas
-
Tokens de acceso a servicios en la nube, incluyendo Snowflake
Este hallazgo indica que el ataque no solo buscaba datos para extorsión, sino también puntos de pivotaje hacia otros entornos críticos, aumentando el riesgo de ataques futuros.
Empresas afectadas en la campaña
Entre las 760 organizaciones atacadas, se incluyen gigantes tecnológicos y de ciberseguridad como:
-
Google
-
Cloudflare
-
Zscaler
-
Tenable
-
CyberArk
-
Elastic
-
BeyondTrust
-
Proofpoint
-
JFrog
-
Nutanix
-
Qualys
-
Rubrik
-
Cato Networks
-
Palo Alto Networks
La magnitud de la lista evidencia que incluso las compañías especializadas en seguridad no están exentas de ser víctimas cuando terceros comprometidos permiten accesos indirectos.
Reacción del FBI y evolución de los grupos
El FBI emitió una advertencia oficial sobre los actores UNC6040 y UNC6395, identificando indicadores de compromiso (IOC) vinculados a esta operación. A pesar de que algunos actores declararon en Telegram que planeaban “oscurecerse” y retirarse de la escena, las investigaciones de ReliaQuest muestran que en julio de 2025 comenzaron a dirigir ataques hacia instituciones financieras, lo que indica que la amenaza sigue activa.
Incluso, como parte de sus últimos mensajes públicos, los atacantes afirmaron haber violado sistemas críticos como:
-
El LERS de Google (plataforma de solicitudes legales de fuerzas del orden).
-
El sistema eCheck del FBI, usado para verificaciones de antecedentes.
Google confirmó que detectó una cuenta fraudulenta en su sistema LERS, pero aseguró que no se procesaron solicitudes ni se filtraron datos.
Consecuencias del ataque
El robo de 1.5 mil millones de registros de Salesforce no solo expone información personal y empresarial, sino que también representa un punto de inflexión en la confianza de aplicaciones conectadas vía OAuth. Entre los riesgos más graves destacan:
-
Exposición masiva de clientes y prospectos, con impacto directo en la reputación corporativa.
-
Riesgo de fraudes financieros mediante robo de credenciales.
-
Amenazas de ransomware y extorsión prolongada.
-
Accesos encadenados a servicios en la nube (AWS, Snowflake, etc.).
Cómo proteger tu instancia de Salesforce
Salesforce emitió recomendaciones para mitigar riesgos y reforzar la seguridad en entornos empresariales:
-
Habilitar la autenticación multifactor (MFA) en todas las cuentas.
-
Aplicar el principio de privilegios mínimos, limitando accesos innecesarios.
-
Revisar y auditar aplicaciones conectadas vía OAuth, eliminando las no esenciales.
-
Rotar credenciales y tokens expuestos en repositorios y sistemas de terceros.
-
Monitorear logs y accesos inusuales dentro de Salesforce y servicios vinculados.
En fin…
El ataque masivo liderado por ShinyHunters y Scatter Lapsus$ Hunters contra Salesforce demuestra que los riesgos de seguridad no siempre provienen del núcleo del software, sino de integraciones y terceros. Con más de 1.5 mil millones de registros expuestos, este incidente ya se posiciona como uno de los robos de datos más grandes de la historia reciente.
Las organizaciones deben priorizar la seguridad en la cadena de suministro digital, implementar controles estrictos sobre aplicaciones OAuth y mantener una estrategia de defensa proactiva. De lo contrario, el costo reputacional, legal y financiero puede ser devastador.
