La compañía de seguridad cibernética Zscaler confirmó que fue víctima de un ataque generalizado de cadena de suministro que expuso la información de contacto del cliente a través de credenciales de Salesforce comprometidas vinculadas a la plataforma de marketing SalesLoft Drift.
La violación, revelada el 31 de agosto de 2025, se deriva de una campaña más grande dirigida a los tokens Oauth de Salesloft Drift que ha afectado a más de 700 organizaciones en todo el mundo.
ZScaler enfatizó que el incidente se limitó a su entorno de Salesforce y no afectó a ninguno de sus productos básicos de seguridad, servicios o infraestructura subyacente.
El incidente de seguridad se originó a partir de un sofisticado ataque de cadena de suministro orquestado por el actor de amenaza UNC6395, que Google Amenazing Intelligence Group y los investigadores mandantes han estado rastreando desde principios de agosto de 2025.
Entre el 8 y el 18 de agosto de 2025, los atacantes comprometieron sistemáticamente tokens OAuth asociados con Salesloft Drift, un agente de chat con IA integrado con bases de datos de Salesforce para la automatización del flujo de trabajo de ventas.
UNC6395 demostró capacidades operativas avanzadas mediante el uso de estos tokens robados para autenticarse directamente en las instancias de los clientes de Salesforce, evitando la autenticación multifactor por completo. Los actores de amenaza emplearon herramientas de Python para automatizar el proceso de robo de datos en cientos de organizaciones específicas.
Información comprometida en ZScaler
Según la declaración oficial de ZSCALER, los datos comprometidos se limitaron a los datos de contacto comerciales comúnmente disponibles y el contenido específico de Salesforce, que incluye:
Nombres y direcciones de correo electrónico comercial Títulos de trabajo y números de teléfono Detalles regionales y de ubicación ZSCALER Licencias de productos e información comercial Contenido de texto sin formato de ciertos casos de soporte (excluyendo archivos adjuntos, archivos e imágenes)
“Después de una extensa investigación, ZScaler actualmente no ha encontrado evidencia que sugiera un mal uso de esta información”, el Compañía declarada. Sin embargo, la violación destaca la vulnerabilidad de las integraciones de terceros en entornos modernos de SaaS.
El incidente de ZScaler representa solo una parte de lo que los investigadores de seguridad llaman la campaña de incumplimiento SaaS más grande de 2025. El grupo de inteligencia de amenazas de Google estima que más de 700 organizaciones han sido afectadas por este ataque de la cadena de suministro.
Inicialmente se cree que solo se dirige a las integraciones de Salesforce, el alcance de la campaña se expandió significativamente cuando Google confirmó el 28 de agosto que los tokens OAuth para el correo electrónico de deriva también se vieron comprometidos, proporcionando a los atacantes acceso limitado a las cuentas del espacio de trabajo de Google. La mayoría de las víctimas son compañías de tecnología y software, creando potenciales riesgos de cadena de suministro en cascada.
ZScaler actuó rápidamente para contener el incidente revocando el acceso de SalesLoft Drift a sus datos de Salesforce y sus tokens de acceso a API rotativo como medida de precaución. La compañía lanzó una investigación integral en colaboración con Salesforce e implementó salvaguardas adicionales para evitar incidentes similares.
El 20 de agosto de 2025, SalesLoft y Salesforce colaboraron para revocar todo el acceso activo y actualizar tokens asociados con la aplicación de deriva. Salesforce también eliminó la aplicación Drift de su mercado AppExchange en espera de una mayor investigación.
Este incidente subraya vulnerabilidades críticas en las integraciones SaaS a SaaS que a menudo evitan los controles de seguridad tradicionales. Los tokens OAuth, una vez comprometidos, proporcionan un acceso persistente sin activar alertas de autenticación o requerir contraseñas.
Si bien no se ha encontrado evidencia de mal uso de datos, ZScaler insta a los clientes a mantener una mayor vigilancia contra posibles ataques de phishing o intentos de ingeniería social que podrían aprovechar los datos de contacto expuestos. La compañía enfatiza que el soporte oficial de ZSCALER nunca solicitará detalles de autenticación a través de comunicaciones no solicitadas.
Se recomienda a las organizaciones que utilizan integraciones de SaaS de terceros que revisen todas las aplicaciones conectadas, revocen permisos demasiado amplios e implementen un monitoreo continuo para una actividad de consulta inusual o exportaciones de datos a gran escala.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
