Robo de datos en Salesforce: tres métodos de ataque de ShinyHunters

Publicado el

Introducción

Microsoft ha dado a conocer un robo de datos en Salesforce asociado a ShinyHunters, un grupo conocido por su extorsión de datos. Durante el último año, los atacantes han logrado acceder a entornos corporativos de Salesforce sin necesidad de explotar fallos en la plataforma.

Métodos de ataque

La investigación de Microsoft, publicada el 13 de julio, detalla tres técnicas distintas utilizadas por los atacantes. La clave de estos métodos radica en la confianza que las organizaciones otorgan a las conexiones OAuth, que vinculan Salesforce con aplicaciones y proveedores de terceros. Este acceso, que parece legítimo, dificulta la detección de actividades maliciosas.

1. Vishing

El primer método es el vishing, que comenzó a mediados de 2025. Los atacantes realizaron llamadas telefónicas fraudulentas haciéndose pasar por soporte técnico, guiando a los empleados a través de la pantalla de consentimiento de OAuth de Salesforce. Al obtener la autorización para una aplicación controlada por los atacantes, pudieron realizar llamadas a la API como usuarios legítimos. Esta táctica permitió a los atacantes acceder a los datos de Salesforce, mantener el acceso a los registros de CRM y buscar credenciales que abrieran puertas a otras plataformas SaaS. Google y Mandiant documentaron este acceso inicial, conocido como UNC6040, y la extorsión posterior bajo UNC6240, ambos atribuidos a ShinyHunters.

2. Tokens robados

El segundo método evita la interacción directa con los empleados. En lugar de phishing, los atacantes comprometen un proveedor de terceros que ya tiene acceso OAuth a las organizaciones de Salesforce de sus clientes. Al robar los secretos de conexión o tokens, los atacantes pueden consultar y exportar datos de múltiples instancias. Microsoft documentó incidentes significativos, como el compromiso de Salesloft en agosto de 2025, donde se robaron tokens de acceso vinculados a la integración de chat de Drift, exponiendo a más de 700 organizaciones, incluidas Cloudflare y Zscaler.

3. Acceso de invitados mal configurado

El tercer camino implica el acceso de invitados mal configurado a sitios de Salesforce. Este acceso permite que los atacantes ingresen sin ser detectados. En noviembre de 2025, un incidente con Gainsight mostró cómo los atacantes aprovecharon la API para acceder a datos sensibles. Un caso más reciente, en junio de 2026, involucró la plataforma Klue, donde los atacantes utilizaron credenciales antiguas para obtener tokens OAuth, accediendo a datos de clientes de Salesforce.

Recomendaciones

La investigación de Microsoft resalta la importancia de mejorar las herramientas de detección y gobernanza para abordar estas actividades que los registros de autenticación no logran captar. Las organizaciones deben revisar sus políticas de acceso y estar atentas a las llamadas de vishing, ya que los atacantes explotan la disposición de los empleados a ayudar. La recomendación es desconfiar de solicitudes inusuales y verificar a través de canales conocidos.

Conclusión

La falta de medidas efectivas de detección y la confianza excesiva en las conexiones OAuth han permitido que ShinyHunters acceda a datos sensibles en Salesforce sin necesidad de explotar vulnerabilidades. Las empresas deben estar en alerta y adoptar prácticas de seguridad más rigurosas para mitigar estos riesgos.

Fuente

Ver noticia original