Se ha revelado una vulnerabilidad crítica en Agentforce, la plataforma de Salesforce para construir agentes de inteligencia artificial, que pudo haber permitido a atacantes extraer información sensible de su sistema de gestión de relaciones con clientes (CRM) mediante una técnica de inyección indirecta de prompts.

El fallo, denominado ForcedLeak (con una puntuación CVSS de 9.4) por Noma Security, fue descubierto y reportado el 28 de julio de 2025. Afectaba a organizaciones que utilizaban Salesforce Agentforce con la funcionalidad Web-to-Lead habilitada.

Cómo funcionaba el ataque

A diferencia de los modelos tradicionales de entrada y salida, los agentes de IA amplían la superficie de ataque. En este caso, los atacantes podían manipular el campo Descripción en los formularios Web-to-Lead con instrucciones maliciosas.

Cuando un empleado interno procesaba el lead con ayuda de la IA, Agentforce ejecutaba tanto las instrucciones legítimas como las ocultas. El flujo del ataque era el siguiente:

1. El atacante enviaba un formulario Web-to-Lead malicioso.
2. Un empleado procesaba el lead utilizando consultas de IA.
3. Agentforce ejecutaba las instrucciones inyectadas.
4. El sistema consultaba datos sensibles del CRM.
5. La información se transmitía a un dominio relacionado con Salesforce que había expirado, adquirido por el atacante por tan solo 5 dólares.

Los datos eran exfiltrados en forma de una imagen PNG, lo que permitía evadir las políticas de seguridad de contenido (CSP).

Riesgos de la vulnerabilidad

Según Noma Security, la debilidad se debía a validaciones insuficientes de contexto, un comportamiento demasiado permisivo del modelo de IA y la evasión de las políticas de seguridad de contenido. Al no distinguir entre datos legítimos y comandos maliciosos, la IA terminaba filtrando información crítica.

Este incidente refleja uno de los riesgos más serios que enfrentan hoy los sistemas de IA generativa (GenAI): la inyección indirecta de prompts, donde instrucciones ocultas en fuentes externas logran manipular a la IA para ejecutar acciones no previstas.

Respuesta de Salesforce

Salesforce aseguró rápidamente el dominio comprometido y lanzó parches de seguridad. Actualmente, ha implementado un mecanismo de lista de URLs de confianza (Trusted URL allowlist) en Agentforce y Einstein AI, que bloquea cualquier intento de enviar datos a sitios externos no verificados.

“Los servicios que alimentan a Agentforce ahora aplican la lista de URLs de confianza para garantizar que no se generen ni ejecuten enlaces maliciosos a través de inyecciones de prompts”, señaló la compañía. “Esto añade una capa crítica de defensa para evitar que datos sensibles salgan del sistema.”

Recomendaciones de seguridad

Además de aplicar los parches oficiales de Salesforce, los equipos de seguridad deben:

• Auditar los datos de leads ya existentes en busca de instrucciones inusuales.
• Implementar validaciones estrictas de entrada para detectar inyecciones de prompts.
• Sanitizar los datos provenientes de fuentes externas o no confiables.

Un llamado a la prevención

“La vulnerabilidad ForcedLeak resalta la importancia de la seguridad proactiva en IA y la gobernanza”, afirmó Sasi Levi, líder de investigación en Noma Security. “Un hallazgo de bajo costo, como la compra de un dominio expirado, puede evitar millones en posibles pérdidas si se corrige a tiempo.”

Este caso confirma los crecientes riesgos de las plataformas impulsadas por IA y la necesidad de establecer controles sólidos para proteger la información crítica de las organizaciones.

Fuente: https://thehackernews.com/2025/09/salesforce-patches-critical-forcedleak.html