Inicio » Zero Day Unit » apt » Zscaler Salesloft Drift Ataque: Impacto y Respuesta

Zscaler Salesloft Drift Ataque: Impacto y Respuesta

Por / / Incidentes y Análisis, Riesgo y Cumplimiento / 5 minutes of reading

Zscaler Salesloft Drift ataque surrealista ciberpunk nube Zero Trust bajo ataque

Contexto del ataque a Salesloft Drift

El incidente conocido como “Zscaler Salesloft Drift ataque” se convirtió en uno de los casos más relevantes de agosto de 2025 por una razón simple: evidencia cómo una integración SaaS puede exponer datos sensibles en plataformas críticas como Salesforce. Zscaler confirmó ser una de las organizaciones afectadas por el compromiso de Salesloft Drift, proveedor ampliamente conectado a CRMs y flujos comerciales. En este análisis revisamos qué ocurrió, qué información estuvo expuesta, cuáles fueron las acciones inmediatas y qué controles deben validar clientes y partners.

Resumen ejecutivo

El compromiso de Salesloft Drift en agosto de 2025 demuestra un riesgo operativo frecuente: integraciones SaaS con privilegios amplios conectadas a sistemas críticos como Salesforce. Cuando un tercero es comprometido, los atacantes pueden explotar tokens OAuth/API para acceder a datos de contacto, licenciamiento y soporte, habilitando phishing dirigido y exposición de información sensible. Este artículo resume qué ocurrió, por qué el vector escala (tokens persistentes, permisos y APIs), qué medidas tomaron las organizaciones afectadas y qué controles debe validar cualquier empresa que use CRM y automatización comercial.

Qué debe validar un CISO hoy (checklist)

  • Inventario de integraciones conectadas a Salesforce/CRM: apps autorizadas, tokens, scopes y propietarios.
  • Revocación y rotación preventiva de tokens vinculados al proveedor afectado o integraciones no esenciales.
  • Mínimo privilegio: reducir permisos/scopes a lo indispensable por caso de uso.
  • Revisión de actividad desde el 8 de agosto: accesos, exportaciones, creación de tokens, cambios de apps.
  • Alertas en SIEM para eventos OAuth/API y patrones anómalos (volumen, horarios, origen, endpoints).
  • Control anti-phishing: avisos internos, verificación de solicitudes de soporte/licenciamiento y capacitación rápida.

Cómo se produjo la brecha

Salesloft Drift, una herramienta de automatización comercial con integración en Salesforce y otras plataformas, fue comprometida en agosto de 2025. De acuerdo con reportes públicos, el grupo UNC6395 abusó de accesos basados en OAuth para obtener información de múltiples organizaciones. El evento inició el 8 de agosto y, tras varios días de actividad maliciosa, se confirmó que el alcance era amplio y afectaba entornos de alta criticidad.

CyberScoop añadió que empresas como Cloudflare, PagerDuty, SpyCloud y Tanium también fueron impactadas. Cloudflare, por ejemplo, identificó 104 tokens API en manos de los atacantes y ejecutó rotación preventiva, sin indicar señales de abuso confirmadas.

Ampliación de la investigación

Investigaciones públicas indicaron que el incidente no se limitó a Salesforce: también se revisaron integraciones con Google Workspace, AWS y Snowflake. En respuesta, Salesloft Drift suspendió conexiones y Salesforce aplicó bloqueos preventivos a accesos provenientes de la aplicación comprometida, con el objetivo de reducir exposición y contener riesgos.

Zscaler confirma el impacto en su infraestructura

Datos potencialmente expuestos

Zscaler Salesloft Drift ataque surrealista nube Zero Trust bajo ataque cibernético
Visualización surrealista del ataque de Salesloft Drift contra la nube de Zscaler, simbolizando la vulnerabilidad de integraciones SaaS y la importancia del modelo Zero Trust.

Zscaler informó que información relacionada con su instancia de Salesforce fue accesada a través de tokens asociados a Drift. Entre los datos señalados públicamente se encontraban:

  • Nombres y correos corporativos.
  • Cargos y números telefónicos.
  • Registros de licenciamiento de productos Zscaler.
  • Texto plano de algunos casos de soporte (sin archivos adjuntos).

Aunque la empresa indicó que no había evidencia de uso malicioso al momento de su comunicación, advirtió sobre un riesgo inmediato: campañas de phishing y spear phishing dirigidas a clientes y contactos con información contextual real.

Acciones inmediatas de Zscaler

Como medidas de contención, Zscaler revocó accesos relacionados con Drift, ejecutó rotación de tokens y reforzó controles de seguridad en Salesforce. Además, emitió un aviso preventivo para que clientes y partners incrementen vigilancia ante intentos de ingeniería social y solicitudes no habituales relacionadas con licenciamiento, soporte o “validaciones” de cuenta.

Cloudflare Salesloft Drift ataque defensa surrealista cyberpunk escudo naranja azul
Visualización surrealista de Cloudflare defendiendo una ciudad digital contra el ataque de Salesloft Drift, con un escudo de hexágonos naranja y azul que desvía las flechas de datos maliciosos.

Otras empresas afectadas y alcance global

Palo Alto Networks y Cloudflare

Palo Alto Networks también confirmó acceso no autorizado a su Salesforce, sin reportar impacto en productos o sistemas centrales. En paralelo, Cloudflare identificó más de 100 tokens API potencialmente comprometidos y los rotó de inmediato como respuesta preventiva.

Ecosistema comprometido

PagerDuty, Tanium y SpyCloud aparecen en reportes públicos como organizaciones impactadas. Estimaciones compartidas por analistas indicaron que más de 700 organizaciones podrían haber estado expuestas. Este caso ilustra un patrón crítico: un solo proveedor SaaS puede convertirse en un vector de ataque masivo cuando existe alta dependencia de integraciones y tokens persistentes.

Riesgos principales para clientes y partners

Phishing y ataques dirigidos

La exposición de datos de contacto permite construir campañas de spear phishing con alto nivel de credibilidad. Cuando los atacantes poseen información de soporte o licenciamiento, pueden simular correos de “renovación”, “ajustes de contrato” o “validación de cuenta” que parecen legítimos y activan respuestas rápidas del usuario.

Abuso de tokens y movimiento lateral

La obtención de tokens OAuth/API eleva el riesgo de acceso persistente o consultas automatizadas a datos. En organizaciones con integraciones amplias, esto puede derivar en intentos de movimiento lateral hacia otras aplicaciones conectadas o en la monetización del acceso en mercados clandestinos.

Buenas prácticas recomendadas para las organizaciones

Auditoría y control de integraciones OAuth

  • Revocar y regenerar tokens asociados a Salesloft Drift y aplicaciones relacionadas.
  • Definir rotación periódica de credenciales para integraciones SaaS (no solo “cuando ocurre un incidente”).
  • Aplicar mínimo privilegio: limitar scopes/permisos a lo estrictamente necesario por caso de uso.

Visibilidad y monitoreo

  • Revisar logs de Salesforce y aplicaciones conectadas desde el 8 de agosto (accesos, exportaciones, creación de tokens).
  • Habilitar alertas en SIEM para eventos OAuth, uso anómalo de API y alta/baja de integraciones.
  • Auditar actividad relacionada con cuentas de soporte y flujos comerciales (cambios de contacto, notas, casos).

Fortalecer seguridad de terceros

  • Evaluar riesgo de proveedores SaaS integrados con el CRM: qué acceden, por qué, y con qué permisos.
  • Establecer cláusulas contractuales de seguridad: notificación temprana, evidencias y tiempos de respuesta.
  • Adoptar controles de Zero Trust para accesos externos e integraciones (validación continua, segmentación y monitoreo).

Lecciones de la brecha Salesloft Drift – Zscaler

Dependencia crítica en SaaS

Este incidente confirma que las integraciones SaaS no son un “detalle operativo”; son parte de la superficie de ataque. Si una app externa mantiene tokens persistentes y permisos amplios, el riesgo se multiplica, incluso si el entorno principal está bien administrado.

Relevancia del modelo Zero Trust

En la práctica, Zero Trust en integraciones significa: mínimo privilegio, validación constante, revocación/rotación planificada y monitoreo de comportamiento. En entornos con múltiples dependencias, asumir que una integración “es confiable” por defecto deja una brecha abierta.

Resiliencia y comunicación

La respuesta rápida y transparente reduce incertidumbre y permite accionar controles preventivos (rotación, monitoreo, alertas anti-phishing). En incidentes de terceros, la velocidad de comunicación marca la diferencia entre “exposición controlada” y escalamiento operacional.

Conclusiones

La brecha de Salesloft Drift y su impacto en Zscaler, Palo Alto Networks y Cloudflare marca un punto de inflexión: el riesgo ya no se limita a proteger el perímetro propio, sino a gobernar integraciones, tokens y permisos en el ecosistema SaaS.

La recomendación es directa: inventariar integraciones, aplicar mínimo privilegio, ejecutar rotación periódica y reforzar monitoreo y concientización anti-phishing. Las organizaciones que lo apliquen de inmediato estarán mejor posicionadas frente a explotación de tokens, ingeniería social dirigida y nuevas campañas derivadas del mismo vector.

Entradas relacionadas

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Scroll al inicio