Nueva investigación: Reporte global sobre detección y respuesta a la nube 2025. Vea dónde D&R se queda corto.
Obtenga el reporte

¿Has sufrido una brecha de seguridad?

|
Contáctanos
|
+1 855 426 3983
Blog
/
Contención de ransomware
Maritza Marie Dubec
Gerente Senior de Marketing de Contenidos
Illumio Editorial
13de octubre de 2025
23 min. leer

El problema de la llave maestra: dentro de la brecha de Salesloft y la amenaza continua

En septiembre de 2025, el FBI publicó una alerta Flash advirtiendo que dos grupos criminales, UNC6395 y UNC6040, estaban comprometiendo activamente instancias de Salesforce en diferentes industrias.

UNC6395 violó Salesloft, una herramienta de interacción de ventas profundamente vinculada a Salesforce, y luego pasó por esa conexión confiable para acceder a los datos de Salesforce. Mientras tanto, UNC6040 ejecuta una campaña separada basada en vishing dirigida directamente a los usuarios de Salesforce.

La campaña UNC6395 ofrece una advertencia clara: los atacantes ya no necesitan violar Salesforce cuando pueden secuestrar los sistemas en los que confía. En esta publicación, analizaremos cómo UNC6395 explotó una integración confiable entre Salesloft y Salesforce, y lo que eso dice sobre el riesgo de la cadena de suministro moderna.

Número de organizaciones afectadas por la UNC6395 Hay más de 700 en todo el mundo, incluidas compañías de ciberseguridad como Zscaler, Palo Alto Networks, Proofpoint, Cloudflare y Tenable.  

Lo que no está claro es hasta dónde se extendió la campaña de UNC6395, o exactamente cuánta información confidencial puede estar todavía en juego.  

Sabemos que los datos robados de Salesforce ahora están alimentando intentos de extorsión. Un grupo de amenazas lanzó un sitio de filtración de datos exigiendo un rescate a las compañías cuyos registros de clientes se publicaron en línea. Salesforce declaró públicamente que no pagará las demandas de extorsión .

Todavía no está claro si estas nuevas denuncias sobre sitios con filtraciones se derivan directamente de las operaciones de UNC6395, pero un hecho es claro: una vez que se roban las credenciales, los registros que desbloquean pueden resurgir repetidamente.

"Desde la época de las contraseñas hasta los certificados, la pregunta más importante siempre fue '¿Cómo se gestiona y mantiene intacta la integridad de las claves?'", afirmó Michael Adjei, director de ingeniería de sistemas de Illumio. “Ese problema no desapareció; solo se agrandó en un mundo interconectado”.

Cuando una llave confiable abre el reino

El arma de UNC6395 fueron tokens OAuth robados de las integraciones de Salesloft (una plataforma de interacción de ventas que sincroniza llamadas, emails y chats en Salesforce), específicamente a través de la conexión del chatbot Drift .

Con esos tokens, los atacantes obtuvieron acceso confiable a nivel de API a Salesforce y otros entornos vinculados, consultando datos silenciosamente, filtrando contactos, casos e incluso credenciales como claves de AWS, secretos de VPN y tokens de Snowflake.

Google ahora advierte que todos los tokens emitidos por Drift deben considerar comprometidos.

El perímetro ya no es tu firewall

Si una integración es la cerradura y un token OAuth la clave, ¿qué sucede cuando esa clave termina en las manos equivocadas?

Las compañías modernas dependen de sistemas estrechamente conectados. Cuando se viola una integración, otras pueden quedar expuestas rápidamente.

Un solo compromiso en una conexión de CRM puede revelar datos de clientes, casos de soporte o archivos almacenados en herramientas de productividad. Las credenciales y claves API dejadas en notas o tiquetes pueden luego abrir el acceso a entornos de nube.

La mayoría de las pilas empresariales vinculan CRM, plataformas de interacción, herramientas de chat y espacio en la nube. Cada conexión mejora la eficiencia, pero también amplía el camino que puede tomar un atacante.

Una vez que se roba un token, el atacante se convierte efectivamente en la integración legítima, omitiendo por completo la MFA, los registros de auditoría y los restablecimientos de contraseñas.

Por qué los tokens OAuth son oro

Los tokens OAuth confieren acceso delegado, por diseño. Pero ese mismo diseño crea un punto débil: una vez que se concede la confianza, rara vez se revoca.

“Los tokens de larga duración suelen sobrevivir a los empleados, proveedores o incluso a las herramientas que los crearon, lo que deja puertas invisibles abiertas en los sistemas”, dijo Adjei.

Llamadas API que parecen normales

El malware es ruidoso; las llamadas API son silenciosas.

En esta brecha, los atacantes se ocultaron a plena vista y emitieron consultas SOQL y Bulk API que imitaban operaciones legítimas.

“Las API son como un automóvil con ventanas polarizadas: la gente asume que eres tú quien está dentro”, dijo Adjei. “La única manera de saber lo contrario es abrir la puerta”.

Debido a que estas solicitudes provenían de integraciones válidas, el sistema las trató como benignas. Esto dificulta la detección: las acciones del atacante se mezclan con la actividad comercial normal.

“Muchas organizaciones ni siquiera conocen todas las aplicaciones e integraciones en uso”, agregó Adjei. “Es posible que los tokens se crearon hace años y nunca se hayan rotado. Esa combinación de TI en la sombra y acceso de larga duración significa que la exposición puede durar meses”.

De SolarWinds a Salesloft

A diferencia de SolarWinds, donde los atacantes introdujeron código malicioso en una actualización de software, UNC6395 no necesitó escribir una sola línea de malware. Más bien, explotaron la confianza misma.

“SolarWinds fue un despertar”, dijo Adjei. “Demostró la eficacia de apuntar al eslabón más débil: un proveedor altamente integrado. Si se compromete eso, se obtiene acceso a muchas organizaciones a la vez”.

Este paso de ataques a la cadena de suministro basados en código, como SolarWinds, a ataques basados en tokens señala un cambio de paradigma: ya no es necesario ingresar con malware cuando las claves ya existen.

¿Quién está detrás de la brecha?

El análisis de inteligencia de amenazas rastrea el acceso inicial a UNC6395 : cibercriminales con motivaciones financieras.  Si bien algunos notaron la superposición del grupo con el enfoque de ShinyHuntersen Salesforce, no se estableció ninguna relación confirmada entre UNC6395 y ShinyHunters.

ShinyHunters es un colectivo más amplio de corredores de datos y de delitos cibernéticos que puede cruzar con las campañas de UNC6395 o beneficiarse de ellas, pero la atribución no está resuelta.

Ahora, Scattered Lapsus$ Hunters afirma que pronto comenzarán a extorsionar a cientos de organizaciones más que, según dicen, perdieron datos de Salesloft. Salesforce enfatizó que el robo de datos de terceros de Salesloft supuestamente robados por ShinyHunters no se originó a partir de una vulnerabilidad dentro de la plataforma principal de Salesforce.

Cómo cortar el radio de explosión

Luego de todo, el compromiso ya no es una cuestión de “tal vez”: se trata más bien de hasta dónde puede llegar un atacante.

“La visibilidad y el contexto permiten ver cambios en el comportamiento: transferencias repentinas de grandes cantidades de datos, anomalías, accesos demasiado extendidos”, dijo Adjei. “Pero la visibilidad sólo es valiosa si se actúa en consecuencia”.

Para reducir el impacto de una llave perdida:

  • Aplicar el mínimo privilegio. Nunca dé alcances más amplios de los necesarios.
  • Rotar y revocar tokens periódicamente.
  • Audite cada aplicación conectada, cada integración.
  • Implemente un monitoreo continuo adaptado al tráfico de API anómalo y al uso inusual de tokens.

Cómo puede ayudar Illumio Insights

Atacantes como UNC6395 no necesitaban malware para infiltrar en cientos de organizaciones: simplemente seguían los caminos invisibles de la confianza. Illumio Insights arroja luz sobre esos caminos.  

Al mapear la comunicación de sistema a sistema en todo su entorno, Insights puede revelar qué aplicaciones se comunican entre sí, con qué frecuencia y cuándo algo parece fuera de lugar. Cuando un token OAuth comprometido comienza a mover datos de formas inesperadas, Insights ayuda a los equipos a detectarlo y contenerlo antes de que pueda propagar.

Las capacidades clave incluyen:

  • Detección de movimiento lateral: la visibilidad de la comunicación entre sistemas es esencial para descubrir a los atacantes que se mueven dentro de los entornos.
  • Detección de amenazas conductuales: los análisis que identifican el uso anormal de herramientas nativas ayudan a detectar actividades que se mezclan con las operaciones normales.  
  • Priorización de alertas: filtrar el comportamiento rutinario y resaltar patrones sospechosos es fundamental cuando los atacantes emplean procesos confiables.  
  • Contención rápida: la capacidad de aislar activos comprometidos rápidamente, sin esperar las firmas de malware, puede detener una amenaza antes de que pueda propagar.

En un mundo donde las infracciones explotan la confianza en lugar del código, Illumio Insights ofrece la visibilidad y el control instantáneo que los defensores necesitan en tiempo real.

La brecha de seguridad de Salesloft nos muestra que los atacantes no necesitan volar los muros de tu castillo: solo necesitan una llave que funcione.  

Cuando hay llaves disponibles, su postura de seguridad depende de quién las tenga y de qué tan rápido pueda detenerlas.

Descubra cómo Illumio Insights identifica y detiene las amenazas antes de que se propaguen. Experimente todo el poder de Illumio Insights gratis durante 14 días.

Temas relacionados

Contención de ransomware

Artículos relacionados

Caballo de Troya moderno: cómo los atacantes viven de la tierra y cómo detenerlos
Contención de ransomware

Caballo de Troya moderno: cómo los atacantes viven de la tierra y cómo detenerlos

Descubra cómo los atacantes "viven de la tierra" empleando herramientas confiables como PowerShell y SSH y cómo detener las amenazas LOTL con visibilidad y contención.

Lee más
El ransomware duele: así es como la confianza cero puede ayudar a mitigar el riesgo
Contención de ransomware

El ransomware duele: así es como la confianza cero puede ayudar a mitigar el riesgo

Cómo la segmentación de Zero Trust de Illumio, basada en una visibilidad integral, puede ayudar a la hora de mitigar los riesgos de ransomware.

Lee más
Qué hacer en un incidente cibernético, Parte 2: Respuesta no técnica
Contención de ransomware

Qué hacer en un incidente cibernético, Parte 2: Respuesta no técnica

Comprenda el aspecto no técnico crucial de la respuesta a incidentes cibernéticos: evaluación de incidentes, reportes, presentaciones regulatorias, divulgación pública y aplicación de procesos.

Lee más
Dos brechas, un banco: lecciones de la crisis cibernética del ICBC
Resiliencia cibernética

Dos brechas, un banco: lecciones de la crisis cibernética del ICBC

Descubra las lecciones críticas de la crisis cibernética de ICBC, donde dos violaciones importantes, ransomware en los EE. UU. y un robo de datos en Londres, revelaron vulnerabilidades sistémicas en la banca global.

Lee más
Caballo de Troya moderno: cómo los atacantes viven de la tierra y cómo detenerlos
Contención de ransomware

Caballo de Troya moderno: cómo los atacantes viven de la tierra y cómo detenerlos

Descubra cómo los atacantes "viven de la tierra" empleando herramientas confiables como PowerShell y SSH y cómo detener las amenazas LOTL con visibilidad y contención.

Lee más
Por qué Medusa Ransomware es una amenaza creciente para la infraestructura crítica
Contención de ransomware

Por qué Medusa Ransomware es una amenaza creciente para la infraestructura crítica

Descubra cómo funciona Medusa ransomware y por qué es tan peligroso para la infraestructura crítica a nivel mundial.

Lee más

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Aprenda más