CTOLCTOL Solutions
CTOL Digital SolutionsCTOL Digital Solutions FRCTOL Digital Solutions DACHCTOL 디지털 솔루션希图科技シートーデジタル解決Soluções Digitais CTOLCTOL Soluciones Digitales
Noticias
Servicios Asesoría CIO/CTOComputación en la NubeMarketing Digital y VentasCiencia de Datos e Inteligencia EmpresarialIA Generativa para NegociosWeb3 y DeFi para EmpresasDesarrollo de Aplicaciones Web y MóvilesConsultoría de Negocios DigitalesModernización de Aplicaciones LegadasDiseño Web y Experiencia de Usuario
Industrias Aeroespacial y DefensaAutomociónBancaMercados de CapitalComunicaciones y MediosBienes de Consumo y ServiciosEnergíaSalud y Atención MédicaInternetManufacturaSegurosSector Público y SocialRetailViajesTelecomunicacionesFarmacéuticaCapital Privado y Capital de RiesgoEducaciónPetróleo y GasBienes RaícesConstrucción y Materiales de ConstrucciónServicios LegalesGastronomía y Hospitalidad
PerspectivasSoftwareHerramientas de IA
Contáctenos

El gambito de los mil millones de registros: Una extorsión de alto riesgo sacude el mundo de Salesforce

Por
Jane Park
6 min de lectura
InternetAplicación

La estratagema de los mil millones de registros: una extorsión de alto riesgo sacude el mundo de Salesforce

Los hackers explotan las lagunas de OAuth y el engaño tradicional para robar datos corporativos, dejando a las empresas en apuros mientras se acerca una fecha límite del 10 de octubre.

En las últimas semanas, una de las campañas de ciber-extorsión más audaces de la memoria reciente ha colocado a Salesforce en el punto de mira. El gigante del CRM, valorado en 250.000 millones de dólares, no está acusado de una brecha directa. En cambio, los atacantes han encontrado una forma inteligente de instrumentalizar la confianza en su ecosistema.

El grupo, que se hace llamar Scattered LAPSUS$ Hunters/ShinyHunters, afirma haber sustraído cerca de mil millones de registros de unas 40 empresas que operan a través de Salesforce. Exigen cerca de mil millones de dólares, amenazando con volcar los datos en línea si nadie paga antes del 10 de octubre de 2025.

Este no es un simple caso de software defectuoso. Es una historia sobre el comportamiento humano, las salvaguardas débiles en torno a las aplicaciones de terceros y cómo los atacantes convierten la confianza cotidiana en su herramienta más afilada.

Cómo se desarrolló el robo

Investigadores del Grupo de Inteligencia de Amenazas de Google y analistas independientes reconstruyeron cómo funcionó el ataque. Comenzó en agosto, cuando los hackers se centraron en los tokens de OAuth vinculados a Salesloft Drift, una popular aplicación de interacción de ventas integrada en innumerables entornos de Salesforce. Una vez dentro, los tokens robados les dieron un acceso aparentemente legítimo para extraer datos de clientes mediante llamadas API ordinarias, nada que levantara sospechas de inmediato.

Para obtener esos tokens no fue necesario un nuevo y brillante exploit. En cambio, los atacantes se apoyaron en el "vishing" —llamadas telefónicas en las que se hacían pasar por personal de TI. Los empleados, convencidos de que estaban ayudando con el soporte rutinario, aprobaron aplicaciones maliciosas que venían con permisos amplios. Con esas aprobaciones, los hackers pudieron extraer silenciosamente enormes conjuntos de datos, y para los sistemas automatizados, todo parecía funcionar con normalidad.

Investigadores de seguridad afirman que las huellas coinciden con grupos conocidos como UNC6040 y Scattered Spider, ambos infames por su ingeniería social más que por su destreza técnica. Solo después de que los investigadores validaron las muestras de datos filtrados se hizo evidente la asombrosa escala de la campaña.

Salesforce se defiende

Desde el principio, Salesforce ha sido categórica: su infraestructura central no ha sido afectada. Los funcionarios de la empresa subrayan que la brecha se remonta a integraciones de terceros y a clientes engañados por estafas telefónicas, no al propio sistema multicliente de Salesforce.

Para demostrar su seriedad, Salesforce recurrió a expertos forenses externos, contactó con las fuerzas del orden, revocó los tokens de OAuth comprometidos y retiró aplicaciones sospechosas de su AppExchange mientras se realizan las revisiones. También instó a sus clientes a reforzar la autenticación multifactor, auditar los permisos de las aplicaciones y estar atentos a las exportaciones de datos inusuales.

Técnicamente, la defensa de Salesforce se sostiene. Pero la percepción puede ser una cuestión distinta. En los titulares, "Brecha en Salesforce" capta más atención que "mala configuración del cliente". La empresa ahora tiene que convencer tanto a clientes como al público de que la verdadera debilidad reside fuera de su plataforma.

Repercusiones en todas las industrias

Las víctimas son una lista de las principales empresas: finanzas, atención médica, comercio minorista y tecnología. Cloudflare ya admitió que los datos de soporte al cliente vinculados a Salesforce estuvieron expuestos entre el 12 y el 17 de agosto. Otros guardan silencio, probablemente inmersos en revisiones legales y control de daños.

Lo que hace que estos datos sean tan peligrosos no es solo el volumen. Los "Casos" de Salesforce —tickets de soporte— a menudo contienen inicios de sesión, claves API y otras piezas de información valiosa que los atacantes pueden utilizar para intrusiones más profundas. En otras palabras, los tickets robados no son solo quejas; son mapas del tesoro para los hackers.

Confianza, dinero y el costo de la conveniencia

Esta saga expone una espinosa realidad para las empresas modernas. Cuanto más dependen las empresas de ecosistemas de aplicaciones en expansión para aumentar la productividad, mayor es el costo oculto de la seguridad.

Los analistas dicen que Salesforce en sí mismo podría no sufrir un gran golpe financiero. Los clientes rara vez abandonan los sistemas CRM de la noche a la mañana, especialmente con contratos plurianuales vigentes. Pero los equipos de adquisiciones podrían ahora demorarse, exigiendo garantías de seguridad más estrictas antes de firmar.

También hay un lado positivo para Salesforce. Podría aumentar la demanda de complementos de seguridad premium como el cifrado Shield y herramientas de monitoreo avanzadas, que ayudan a los clientes a vigilar quién hace qué con sus datos. Más allá de Salesforce, las plataformas de gobernanza de identidades y las herramientas de postura de seguridad SaaS podrían experimentar una oleada de nuevos gastos. En resumen, las empresas que puedan ayudar a controlar la intrincada red de acceso de terceros tienen mucho que ganar.

El reloj avanza hacia el 10 de octubre

La fecha límite de los hackers se acerca rápidamente. Si las campañas de extorsión pasadas sirven de guía, podrían filtrar muestras para mantener la presión, o ir a lo grande y volcar todo de una vez. Las víctimas sopesarán qué les duele más: pagar o dejar que los datos se hagan públicos.

Mientras tanto, Salesforce se apresura a implementar configuraciones predeterminadas más robustas. Los informes sugieren que están trabajando en permisos de OAuth más estrictos, vidas útiles de tokens más cortas y listas de permitidos de aplicaciones más rigurosas. Si esos cambios se implementan rápidamente, lo que comienza como una crisis de reputación podría transformarse en un impulso de credibilidad, demostrando que Salesforce puede adaptarse rápidamente bajo presión.

Las compañías de seguros no están esperando. Algunas ya están incorporando la higiene de seguridad de Salesforce en la documentación de renovación, impulsando a los clientes a adoptar mejores salvaguardas. Irónicamente, el dinero —no la regulación— puede impulsar los cambios más rápidos.

Qué significa para los inversores

Para los inversores, la conclusión es sencilla: no se deben confundir los titulares alarmantes con un modelo de negocio roto. A menos que surja un fallo real en la plataforma, la fortaleza a largo plazo de Salesforce permanece intacta. Cualquier caída a corto plazo en el precio de las acciones podría incluso parecer una oportunidad de compra.

El espacio SaaS en general, sin embargo, podría notar un enfriamiento. Se esperan aprobaciones más lentas para las integraciones de aplicaciones a medida que las empresas reevalúan el riesgo. Por otro lado, los proveedores que demuestren haber logrado la gobernanza de OAuth y los controles de acceso podrían obtener una valoración premium.

Al final, este episodio refuerza el creciente atractivo de los modelos de confianza cero y las verificaciones de acceso continuas. Los proveedores de aplicaciones más pequeños sin programas de cumplimiento sólidos podrían encontrarse atrapados en el purgatorio de las adquisiciones.

El panorama general

Este intento de extorsión subraya una dura verdad: en la era de la nube, los mayores riesgos a menudo se cuelan a través de conexiones de confianza, no por puertas abiertas. Los datos ya no fluyen ordenadamente a través de firewalls. Se mueven a través de docenas de aplicaciones vinculadas, cada una un posible eslabón débil.

Para las organizaciones, la lección es clara. Ya no basta con proteger la puerta principal. También hay que vigilar las puertas traseras que se han abierto en nombre de la productividad, porque los atacantes, sin duda, lo están haciendo.

También te puede gustar

Este artículo ha sido enviado por nuestro usuario bajo las Normas y directrices para la presentación de noticias. La foto de portada es arte generado por computadora únicamente con fines ilustrativos; no indicativa del contenido factual. Si crees que este artículo infringe los derechos de autor, no dudes en informarlo enviándonos un correo electrónico. Tu vigilancia y cooperación son invaluables para ayudarnos a mantener una comunidad respetuosa y legalmente conforme.

Suscríbete a nuestro boletín

Obtenga lo último en negocios empresariales y tecnología con vistazos exclusivos a nuestras nuevas ofertas

Utilizamos cookies en nuestro sitio web para habilitar ciertas funciones, proporcionarle información más relevante y optimizar su experiencia en nuestro sitio web. Puede encontrar más información en nuestra Política de privacidad y en nuestros Términos de servicio . La información obligatoria se puede encontrar en el aviso legal