Un ciberataque generalizado ha comprometido los datos de Salesforce de más de 200 empresas, tras una vulneración en Gainsight, un proveedor de plataformas de atención al cliente. El incidente pone de relieve los crecientes riesgos dentro de las cadenas de suministro de software y la creciente sofisticación de los grupos de hackers.
El incumplimiento y las empresas afectadas
Los piratas informáticos, que operan bajo el nombre de Scattered Lapsus$ Hunters (incluidos miembros de la pandilla ShinyHunters), extrajeron con éxito datos de numerosas instancias de Salesforce a través de aplicaciones publicadas por Gainsight. Si bien Salesforce inicialmente minimizó el incidente, afirmando que no existe ninguna vulnerabilidad dentro de su plataforma, ahora se confirma que el alcance de la violación afecta a más de 200 organizaciones.
El grupo de hackers se ha atribuido públicamente la responsabilidad de atacar a grandes corporaciones, incluidas Atlassian, CrowdStrike, Docusign, F5, GitLab, LinkedIn, Malwarebytes, SonicWall, Thomson Reuters y Verizon. A pesar de estas afirmaciones, el alcance exacto de los datos comprometidos sigue sin estar claro, ya que muchas empresas aún no han reconocido públicamente su participación.
Cómo funcionó el truco
El ataque aprovechó una campaña anterior dirigida a Salesloft, otra plataforma de marketing. Los piratas informáticos robaron tokens de autenticación de Drift de los clientes de Salesloft, otorgándoles acceso no autorizado a cuentas vinculadas de Salesforce. Gainsight, al ser cliente de Salesloft, se vio comprometida, creando un efecto en cascada que expuso los datos de sus clientes. Más tarde, los piratas informáticos confirmaron que todo el compromiso de Gainsight provino de este ataque anterior.
Respuestas e investigaciones de la empresa
Las reacciones de las empresas afectadas han variado. CrowdStrike rápidamente declaró que no se vio afectado y despidió a un presunto informante que pudo haber ayudado a los piratas informáticos. Verizon desestimó las afirmaciones por considerarlas “infundadas”, mientras que Malwarebytes y Thomson Reuters confirmaron que estaban investigando. Docusign, aunque no encontró evidencia inmediata de compromiso, canceló proactivamente las integraciones de Gainsight como medida de precaución. Salesforce ha revocado temporalmente los tokens de acceso activos para las aplicaciones conectadas a Gainsight como medida de precaución.
Extorsión y amenazas futuras
Scattered Lapsus$ Hunters planea lanzar un sitio web de extorsión la próxima semana para exigir un rescate a las víctimas, reflejando tácticas utilizadas en incidentes anteriores. El grupo, un colectivo de hackers de habla inglesa de bandas como ShinyHunters, Scattered Spider y Lapsus$, se especializa en ingeniería social para infiltrarse en sistemas.
El panorama más amplio
Este incidente subraya la vulnerabilidad de los ecosistemas de software interconectados. Las aplicaciones e integraciones de terceros pueden actuar como vínculos débiles, permitiendo a los atacantes obtener acceso a datos confidenciales en poder de corporaciones más grandes. El hecho de que Salesforce se distanciara de la infracción a pesar de que sus clientes se vieron afectados plantea dudas sobre la responsabilidad de la plataforma en la seguridad de la cadena de suministro.
El ataque sirve como un claro recordatorio de que la seguridad de los datos no consiste solo en proteger los propios sistemas, sino también en examinar las prácticas de seguridad de cada servicio conectado.
