Una filtración de datos originada por un hackeo de GitHub en marzo en Salesloft, no detectada durante seis meses, llevó al robo de tokens de autenticación y posteriores filtraciones de datos que afectaron a varios de sus clientes de Big Tech, incluyendo Google, Cloudflare y Palo Alto Networks. Este incidente subraya las vulnerabilidades críticas dentro de la cadena de suministro de software y está impulsando un mayor escrutinio en toda la industria tecnológica.

Apertura

Las acciones estadounidenses volvieron a centrarse en los riesgos de ciberseguridad dentro del sector tecnológico tras la divulgación de una importante violación de datos que involucró a Salesloft, un importante proveedor de software. El incidente, derivado de un compromiso de la cuenta de GitHub, llevó a la exfiltración de datos sensibles de numerosas empresas de 'Big Tech' que utilizan las integraciones de terceros de Salesloft, lo que pone de manifiesto las vulnerabilidades generalizadas en la cadena de suministro digital.

El evento en detalle

Salesloft confirmó que su cuenta de GitHub fue violada en marzo de 2025 por un grupo de amenazas sofisticado, identificado como UNC6395 (también conocido como GRUB1 o ShinyHunters). Esta intrusión pasó desapercibida durante aproximadamente seis meses. Durante este período, el actor de la amenaza obtuvo acceso al entorno de la aplicación de Salesloft, descargó repositorios de código, estableció acceso persistente a través de cuentas de usuario invitadas y configuró flujos de trabajo.

La fase crítica del ataque implicó al actor de la amenaza pivotando hacia el entorno de Amazon Web Services (AWS) de Drift. Aquí, UNC6395 obtuvo tokens OAuth asociados con las integraciones de clientes de Drift. Estos tokens robados se utilizaron luego para acceder y exfiltrar grandes volúmenes de datos de las instancias de Salesforce de las empresas afectadas entre el 8 y el 18 de agosto de 2025. Más de 700 organizaciones se vieron afectadas, incluidos nombres prominentes como Cloudflare, Google (GOOGL), Palo Alto Networks, Proofpoint, Tenable, Bugcrowd, PagerDuty, Zscaler, Qualys, Tanium, Rubrik y BeyondTrust.

Los datos comprometidos consistieron principalmente en información de CRM de Salesforce, incluyendo detalles de contacto comercial, registros de cuentas de ventas y contenido de casos de soporte. En algunos casos, la exfiltración se extendió a secretos potencialmente incrustados como claves API, credenciales en la nube (por ejemplo, claves de acceso de AWS, tokens de Snowflake) y credenciales de VPN. Por ejemplo, Cloudflare informó que su inquilino de Salesforce tenía tickets de soporte al cliente y datos asociados exfiltrados, lo que llevó a la rotación preventiva de 104 tokens API de Cloudflare. Google confirmó un acceso limitado a un pequeño número de cuentas de Gmail vinculadas a la integración de Drift Email, revocando rápidamente los tokens afectados y deshabilitando la integración.

En respuesta, Salesloft y Salesforce tomaron medidas inmediatas, revocando todos los tokens activos para la aplicación Drift el 20 de agosto, y Salesforce eliminó temporalmente Drift de su AppExchange en espera de una investigación exhaustiva. Salesloft contrató a las empresas de ciberseguridad Mandiant y Coalition para la respuesta a incidentes.

Análisis de la reacción del mercado

La violación ha intensificado el sentimiento negativo del mercado, particularmente para las empresas que dependen de integraciones de terceros, y ha amplificado el sentimiento de aversión al riesgo en todo el sector tecnológico. Si bien Salesloft es una entidad privada, el incidente tiene implicaciones financieras directas e indirectas para sus clientes que cotizan en bolsa. Las empresas afectadas ahora enfrentan costos significativos y no presupuestados asociados con la respuesta a incidentes, investigaciones forenses, rotación generalizada de credenciales y protocolos de seguridad mejorados.

Salesforce (CRM), una plataforma clave afectada por la violación, experimentó una volatilidad notable. La acción cayó un 2,58% a 249,64 dólares. Esta disminución se vio agravada por la violación de datos de Salesloft Drift, que intensificó las preocupaciones de ciberseguridad antes de su informe de ganancias. Los operadores de opciones demostraron una agresiva compra de opciones de venta, lo que indica una expectativa de una mayor caída. El sector de software de aplicación más amplio también mostró debilidad, con Microsoft (MSFT) disminuyendo un 1,03% intradía, lo que subraya las preocupaciones más amplias de la industria con respecto a los riesgos de implementación de la IA y las vulnerabilidades de ciberseguridad. Este incidente destaca que incluso las posturas de seguridad internas robustas pueden verse socavadas por vulnerabilidades en las cadenas de suministro de terceros.

Contexto e implicaciones más amplias

Esta violación de Salesloft sirve como una llamada de atención crítica para el ecosistema Web3 más amplio y las tendencias de adopción corporativa, especialmente en lo que respecta a la seguridad de las plataformas SaaS interconectadas. Demuestra claramente que las vulnerabilidades en una única integración de terceros pueden crear un riesgo sistémico, lo que lleva a una exfiltración generalizada de datos en cientos de organizaciones.

"El incidente destaca la necesidad crítica de una mayor vigilancia en la seguridad de las aplicaciones SaaS y otras integraciones de terceros, ya que los datos comprometidos podrían utilizarse para lanzar ataques adicionales."

El evento subraya un punto ciego persistente en la seguridad de SaaS relacionado con los tokens OAuth y las aplicaciones conectadas. Es probable que acelere la adopción de estándares de seguridad más estrictos para los proveedores de terceros, aumente la demanda de soluciones robustas de gestión de identidad y acceso, y requiera procesos de diligencia debida más rigurosos para la adquisición de SaaS. El sentimiento de los inversores podría cambiar hacia las empresas que demuestran una seguridad superior en la cadena de suministro y capacidades de respuesta a incidentes, mientras que aquellas percibidas como con eslabones débiles en su cadena de suministro digital podrían enfrentar un mayor escrutinio y posibles ajustes de valoración. El incidente refuerza la necesidad de una monitorización continua y una respuesta rápida a los actores de amenazas sofisticados que se dirigen específicamente a las integraciones de empresa a empresa para el robo generalizado de datos.

Mirando hacia el futuro

Las ramificaciones de la violación de Salesloft seguirán repercutiendo en el sector tecnológico. Ahora se insta a las empresas a desconectar inmediatamente todas las conexiones de Salesloft de sus entornos de Salesforce, desinstalar el software relacionado y rotar las credenciales para todas las aplicaciones e integraciones de terceros conectadas a Salesforce.

En las próximas semanas y meses, el enfoque estará en la implementación generalizada de protocolos de seguridad mejorados, que incluyen: revocación y rotación de credenciales, revisión y auditoría exhaustivas de registros para detectar actividades sospechosas, y reautenticación cuidadosa de las integraciones solo después de las garantías de seguridad del proveedor. Además, se espera que las empresas implementen autenticación multifactor (MFA) y acceso de menor privilegio para todas las integraciones de SaaS, junto con la adopción de controles de acceso de confianza cero. La gestión proactiva de credenciales, con programas de rotación regulares para todas las claves API y secretos, se convertirá en estándar. El incidente también impulsará a las organizaciones a iniciar investigaciones más detalladas sobre la postura de seguridad de sus proveedores de terceros, dando forma a las futuras estrategias de gestión de riesgos de proveedores en toda la industria.