Cloudflare y Palo Alto Networks confirmaron que sus entornos de Salesforce fueron accedidos por actores maliciosos a través de la aplicación comprometida Salesloft Drift, sumándose a la lista de organizaciones impactadas por esta campaña de ciberataques.

Cloudflare informó que detectó actividad inusual en su inquilino de Salesforce la semana pasada. Tras una investigación interna, la compañía confirmó que los atacantes accedieron y exfiltraron datos entre el 12 y el 17 de agosto de 2025, después de un reconocimiento inicial observado el 9 de agosto de 2025.

Según la empresa, la exposición se limitó a los objetos de casos de Salesforce, que consisten principalmente en tickets de soporte al cliente y la información asociada. Es importante destacar que no se vieron comprometidos archivos adjuntos.

Cloudflare subrayó que no solicita ni requiere que los clientes compartan secretos, credenciales o claves de API en los casos de soporte. Sin embargo, reconoció que en escenarios de resolución de problemas algunos clientes pudieron haber incluido información sensible en los campos de texto. Por ello, instó a los usuarios a rotar cualquier credencial compartida por este canal.

Además, como medida preventiva, la compañía rotó 104 tokens de API de Cloudflare identificados dentro del conjunto de datos comprometido.

Palo Alto Networks también comprometida

En un anuncio separado, Palo Alto Networks confirmó que el mismo actor de amenazas accedió a sus datos en Salesforce. La compañía señaló que la información expuesta consistía en su mayoría en detalles de contacto comerciales, datos internos de cuentas de ventas y registros básicos de casos.

Aunque aclaró que la mayor parte de la información no era altamente sensible, Palo Alto indicó que está contactando a un número limitado de clientes cuyos datos podrían requerir mayor atención.

Una campaña más amplia y riesgo de ataques dirigidos

La brecha forma parte de una campaña mayor en la que los atacantes explotaron tokens OAuth vinculados a la aplicación de terceros Salesloft Drift, que se integra con Salesforce.

Entre el 8 y el 18 de agosto de 2025, los atacantes exfiltraron de manera sistemática grandes volúmenes de datos, buscando específicamente credenciales e información sensible, según el Google Threat Intelligence Group (GTIG).

Cloudflare coincidió con este análisis y advirtió que, dado que cientos de organizaciones se vieron afectadas, los atacantes podrían aprovechar la información robada para lanzar ataques dirigidos altamente personalizados contra los clientes de las compañías comprometidas.

Este incidente se suma a la reciente revelación de Zscaler, que también reconoció haber sido impactada por la misma campaña. Aunque algunos expertos sugieren la posible participación de un actor vinculado a un Estado-nación, GTIG no ha encontrado relación entre esta brecha y otras campañas recientes contra usuarios de Salesforce, como el ataque de vishing atribuido a ShinyHunters.

Lecciones clave para las empresas

Este caso pone en evidencia los riesgos crecientes de las integraciones con aplicaciones de terceros y el potencial de un compromiso masivo cuando la confianza en plataformas SaaS se ve explotada. Las organizaciones deberían:

• Revisar y auditar las integraciones OAuth con CRM y otras aplicaciones SaaS.
• Rotar de inmediato cualquier credencial o token de API potencialmente expuesto.
• Reforzar sus capacidades de monitoreo y respuesta a incidentes para detectar patrones de acceso anómalos.

A medida que los atacantes siguen explotando plataformas de confianza e integraciones externas, las empresas deben fortalecer tanto su gobernanza como su observabilidad para reducir riesgos y aumentar su resiliencia.

Fuente: https://www.infosecurity-magazine.com/news/cloudflare-victimized-in-salesloft