Un solo ataque informático desencadenó una reacción en cadena en Internet. Los tokens robados permitieron el acceso a Google, Slack, Amazon y Microsoft.

El robo masivo de tokens de autenticación en la empresa Salesloft, desarrolladora de un chatbot corporativo, provocó una reacción en cadena de amenazas por toda la infraestructura digital. Según la advertencia de Google, el incidente afecta no solo a los datos en Salesforce, sino también a cientos de servicios de terceros integrados con Salesloft —incluyendo Slack, Google Workspace, Amazon S3, Microsoft Azure y OpenAI.

Salesloft, que atiende a más de 5.000 clientes, el 20 de agosto informó sobre la detección de un problema en la aplicación Drift —la tecnología que impulsa el chatbot ampliamente usado en sitios corporativos. En la advertencia se pidió a los usuarios que volvieran a conectar Drift con Salesforce para revocar los tokens, aunque entonces no se había revelado que esos tokens podrían haber sido ya comprometidos.

Solo el 26 de agosto el grupo Google Threat Intelligence Group (GTIG) confirmó oficialmente que actores desconocidos, identificados como UNC6395, empezaron a usar los tokens robados al menos desde el 8 de agosto, extrayendo grandes cantidades de información de instancias corporativas de Salesforce. Se subraya que la plataforma Salesforce no presenta vulnerabilidades; el problema es la filtración de tokens de acceso.

GTIG señala que los atacantes rastrean activamente los datos obtenidos en busca de material sensible: claves de AWS, cuentas VPN, accesos a Snowflake y otros almacenamientos en la nube. Si localizan credenciales válidas, podrían comprometer infraestructuras adicionales de las víctimas y sus socios.

El 28 de agosto Google actualizó su alerta, indicando que los atacantes usaron tokens para acceder al correo en un «número reducido» de cuentas de Google Workspace configuradas específicamente para trabajar con Salesloft. GTIG recomienda anular de inmediato todos los tokens vinculados a integraciones de Salesloft, independientemente del servicio externo concreto.

Google dejó claro que todas las organizaciones que usan Salesloft Drift junto con plataformas externas (incluyendo, pero no limitado a, Salesforce) deben considerar sus datos comprometidos y tomar medidas urgentes para mitigar el daño. En respuesta, Salesforce bloqueó las integraciones de Drift con su propia plataforma, así como con Slack y Pardot.

El incidente ocurre en medio de una amplia campaña de ingeniería social: los atacantes usaron phishing por llamadas de voz para convencer a las víctimas de conectar una aplicación maliciosa a su instancia de Salesforce. Esa campaña ya provocó filtraciones y extorsiones contra compañías como Adidas, Allianz Life y Qantas.

El 5 de agosto Google confirmó que una de sus propias instancias de Salesforce fue comprometida en el marco de la misma campaña. GTIG asignó al grupo atacante el código UNC6040. Los propios atacantes afirmaron pertenecer al conocido colectivo ShinyHunters y sugirieron lanzar un sitio de filtraciones para aumentar la presión sobre las víctimas.

ShinyHunters se hizo conocido por intrusiones a plataformas en la nube y proveedores terceros. Desde 2020 publicaron decenas de bases con millones de registros en foros clandestinos, incluido el ahora cerrado Breachforums. Se cree que sus miembros forman una agrupación fluida de ciberdelincuentes angloparlantes activos en Telegram y Discord.

Un representante de Recorded Future señaló que herramientas y métodos usados por ShinyHunters coinciden en parte con tácticas de otro grupo conocido de extorsión —Scattered Spider—, lo que podría indicar solapamientos entre miembros.

Confusión adicional generó el canal de Telegram "Scattered LAPSUS$ Hunters 4.0", aparecido el 28 de agosto y con casi 40.000 suscriptores. Sus participantes han afirmado repetidamente ser responsables del hackeo a Salesloft, sin aportar pruebas. El canal también se ha usado para amenazar a especialistas en seguridad y promover un nuevo foro delictivo llamado "Breachstars", donde supuestamente publicarían datos robados si las víctimas se niegan a pagar rescate.

Sin embargo, según Google GTIG, no hay pruebas concluyentes de que ShinyHunters u otros grupos conocidos estén detrás del ataque a Salesloft. Los miembros más activos del canal de Telegram aparentemente se limitan a retransmitir información pública.

Joshua Wright, director técnico senior de Counter Hack, explica el éxito de este tipo de ataques con el concepto de «authorization sprawl»: los atacantes usan tokens de acceso legítimos ya en funcionamiento para moverse sin ser detectados entre sistemas en la nube y locales. En esos casos no hace falta escalar privilegios ni eludir la protección de endpoints: bastan mecanismos de inicio único (SSO) y autorización centralizada.

Cómo obtuvieron exactamente los atacantes todos los tokens de Drift aún no se ha establecido. El 27 de agosto Salesloft contrató a expertos externos para investigar el incidente.