Underc0de - La Casa de los Informáticos

Cloudflare, una de las compañías más relevantes en materia de seguridad y servicios de Internet, confirmó recientemente que se convirtió en una de las últimas víctimas dentro de la ola de ciberataques que ha afectado a clientes de Salesforce. El incidente está vinculado a las brechas de seguridad de Salesloft Drift, una campaña a gran escala contra la cadena de suministro revelada la semana pasada y que ya afecta a cientos de organizaciones en todo el mundo.

La compañía reveló el martes que los atacantes lograron obtener acceso a una instancia de Salesforce utilizada para la gestión de casos internos de clientes y servicios de soporte, lo que permitió exfiltrar 104 tokens API de la plataforma Cloudflare. Aunque hasta el momento no se ha detectado un uso malicioso de estos tokens, el riesgo potencial es considerable, ya que podrían emplearse para acceder a credenciales críticas y lanzar ataques dirigidos.

Cómo ocurrió la filtración de datos en Cloudflare

De acuerdo con el informe oficial, Cloudflare fue notificado de la violación de seguridad el 23 de agosto, iniciando de inmediato un proceso de análisis y mitigación. Posteriormente, el 2 de septiembre alertó a los clientes afectados, rotando de forma preventiva los 104 tokens exfiltrados para minimizar cualquier riesgo.

La compañía detalló que la mayor parte de la información comprometida estaba relacionada con datos de contacto de clientes y registros de soporte, aunque algunas interacciones podrían incluir información sensible como configuraciones internas, credenciales de acceso o contraseñas compartidas durante procesos de asistencia técnica.

En palabras de Cloudflare:

"Dado que los datos de los casos de soporte de Salesforce contienen tickets e interacciones con clientes, cualquier información compartida en ese canal —incluidos registros, tokens o contraseñas— debe considerarse comprometida. Recomendamos encarecidamente rotar cualquier credencial enviada por este medio."

Cronología del ataque y alcance de la brecha

La investigación de Cloudflare determinó que los atacantes realizaron una primera fase de reconocimiento el 9 de agosto. Posteriormente, entre el 12 y el 17 de agosto, lograron exfiltrar texto asociado a los objetos de caso en Salesforce, lo que incluye:

• Líneas de asunto de los tickets de soporte.
• Cuerpos de los casos, que en algunos casos podrían contener claves, secretos o credenciales.
• Información de contacto del cliente, como nombre de empresa, correo electrónico, teléfono, dominio corporativo y país.

Aunque los atacantes no accedieron a archivos adjuntos, el material obtenido ya representa un riesgo significativo de seguridad, pues podría facilitar campañas posteriores de phishing o intentos de intrusión en sistemas corporativos.

Una campaña más amplia contra Salesforce y Salesloft Drift

Este incidente no se considera aislado. Cloudflare advirtió que el actor de amenazas responsable parece tener como objetivo la recopilación de credenciales y datos sensibles de clientes con fines de ataques futuros.

La ola de violaciones de seguridad está vinculada al grupo de extorsión ShinyHunters, que desde principios de 2025 ha perfeccionado el uso de phishing de voz (vishing) para convencer a empleados de vincular aplicaciones OAuth maliciosas con instancias de Salesforce corporativas. Esta técnica ha permitido el robo masivo de bases de datos, utilizadas posteriormente para la extorsión y la venta de información en foros clandestinos.

Entre las empresas afectadas por esta campaña se encuentran nombres de gran peso como Google, Cisco, Qantas, Allianz Life, Farmers Insurance, Workday, Adidas y filiales del grupo LVMH (Louis Vuitton, Dior y Tiffany & Co.).

Aunque algunos investigadores sugieren que los ataques de Salesloft Drift están conectados con ShinyHunters, hasta ahora Google no ha encontrado evidencia concluyente que confirme este vínculo directo.

Confirmación de Palo Alto Networks y búsqueda de secretos

Otra empresa afectada fue Palo Alto Networks, que confirmó que los atacantes también lograron robar información de soporte en Salesforce, principalmente datos de contacto y comentarios de clientes. Al igual que en el caso de Cloudflare, los sistemas y productos principales de la compañía no se vieron comprometidos.

Los atacantes mostraron un interés particular en buscar claves de acceso de AWS (AKIA), credenciales de VPN y SSO, tokens de Snowflake y palabras clave sensibles como "secreto", "contraseña" o "clave". Este comportamiento refuerza la hipótesis de que la campaña está diseñada para obtener accesos privilegiados y penetrar en más plataformas en la nube, con el objetivo de ejecutar futuros ataques de extorsión y robo de datos.

Medidas de seguridad recomendadas

El ataque contra Cloudflare y otras compañías demuestra el creciente riesgo que representan los ataques a la cadena de suministro en entornos SaaS. Los CRM como Salesforce, al centralizar información crítica de clientes, se han convertido en un objetivo atractivo para los actores de amenazas.

Entre las principales recomendaciones de seguridad destacan:

• Rotación inmediata de credenciales compartidas en canales de soporte o sistemas de CRM.
• Monitoreo continuo de tokens API y claves de acceso para detectar comportamientos anómalos.
• Implementación de políticas Zero Trust para minimizar el riesgo de movimientos laterales en caso de una intrusión.
• Concienciación contra técnicas de vishing y phishing que buscan engañar a empleados para aprobar integraciones maliciosas.
• Segmentación de datos sensibles y reducción de la información compartida en tickets de soporte.

El caso de Cloudflare es un recordatorio claro de que la seguridad en la nube no solo depende de la infraestructura de una compañía, sino también de la resiliencia de toda la cadena de proveedores y servicios interconectados.

Fuente: https://www.bleepingcomputer.com/