Seis meses de hackeo: Salesloft restablece la integración, pero hay un detalle...

Salesloft anunció la restauración de la integración con Salesforce tras un incidente relacionado con la plataforma Drift y sus vínculos tecnológicos. A la noche del 7 de septiembre de 2025 la sincronización entre Salesloft y Salesforce vuelve a estar disponible; sin embargo, antes de reactivarla será necesaria una conciliación de datos: el equipo de atención al cliente contactará a las organizaciones y las guiará mediante un breve procedimiento de alineamiento, tras lo cual la conexión se reanudará sin demoras.

El 28 de agosto se contrató a expertos externos para determinar la causa y el alcance del compromiso de Drift y de las integraciones implicadas, así como para verificar el aislamiento entre los entornos de Drift y Salesloft. El 6 de septiembre los especialistas confirmaron que las trazas de actividad del atacante se remontan a marzo–junio de 2025. En ese periodo accedió a la cuenta de GitHub de Salesloft, descargó el contenido de varios repositorios, añadió un usuario invitado y configuró flujos de trabajo. El análisis de los eventos en la aplicación Salesloft detectó solo reconocimiento limitado sin indicios de escalada del ataque.

El vector clave afectó a la infraestructura de AWS desde el lado de Drift: allí el atacante obtuvo tokens OAuth de integraciones de clientes de Drift y los utilizó para acceder a datos a través de servicios conectados. En paralelo, los especialistas llevaron a cabo un conjunto de medidas de contención y limpieza tanto en el entorno de Drift como en la propia aplicación de Salesloft. En el entorno de Drift se aislaron la infraestructura, el código y la aplicación, se detuvo el servicio y se reemplazaron credenciales vulnerables. En el entorno de Salesloft se rotaron con rapidez los secretos, se realizó una caza de amenazas proactiva y no se encontraron indicadores adicionales de compromiso; al mismo tiempo se reforzó la protección contra los métodos usados en el ataque.

Un bloque de trabajo separado se centró en los indicadores de reconocimiento: se verificaron incidentes relacionados con credenciales potencialmente comprometidas y eventos que podrían ayudar a sortear las barreras de seguridad de Salesloft. Un detalle técnico importante: se confirmó la segmentación entre las aplicaciones e infraestructuras de Drift y Salesloft, es decir, los límites entre los sistemas mantuvieron el aislamiento. En la fase actual el incidente se considera localizado y el foco de la investigación se ha desplazado a la verificación forense de las conclusiones.

Paralelamente, la empresa informa que durante la desconexión con Salesforce ambos productos funcionaron de forma autónoma, sin influencia mutua. Ahora que la integración ha sido restaurada, la prioridad sigue siendo la seguridad de los datos y la correcta resincronización de los eventos acumulados. Salesloft se compromete a comunicar futuros cambios a través de la página de confianza y dirige a los clientes al servicio de soporte para asistencia inmediata.

Según la evaluación del Grupo de Análisis de Amenazas de Google, la magnitud del incidente ya se mide en cientos de afectados: se han registrado al menos 700 organizaciones cuyas integraciones fueron afectadas por el robo de tokens OAuth de Drift; por ello se recomienda considerar cualquier vínculo con Drift como potencialmente comprometido, para no restringir el perímetro de comprobación de forma prematura.

Sobre las consecuencias informaron públicamente los responsables de Cloudflare, Zscaler y Palo Alto Networks; en los últimos 6 días también confirmaron impacto Nutanix, Elastic, Cato Networks, Tenable, Rubrik y Proofpoint. El servicio fintech canadiense Wealthsimple aparte indicó el acceso a datos personales — documentos de identidad, números de cuenta, números de seguro social, fechas de nacimiento y datos de contacto; no se sustrajeron fondos y el incidente se localizó en el transcurso de horas.

Por la naturaleza de la información afectada predominan los volúmenes procedentes de los sistemas de soporte: el contenido de tickets y los adjuntos relacionados. Algunas empresas han advertido que cualquier artefacto proporcionado por clientes — registros, tokens y contraseñas — debe considerarse comprometido. Otras precisaron que buena parte de las filtraciones afecta a contactos comerciales y registros vinculados a Salesforce: nombres, direcciones de correo corporativas, teléfonos y datos geográficos.

En las conclusiones del sector se destacó el foco en identificadores "no humanos". Los especialistas señalaron una brecha sistémica en la protección de tokens de API y cuentas de servicio que permiten los intercambios automáticos entre plataformas: a medida que crece la interconexión, la resistencia del ecosistema viene determinada por el eslabón más débil en la cadena de proveedores y clientes.